Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-04735: Уязвимость веб-интерфейса управления систем обработки вызовов Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME), позволяющая нарушителю получить доступ на чтение или изменение сведений в базе данных

Описание уязвимости	Уязвимость веб-интерфейса управления систем обработки вызовов Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME) связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение или изменение сведений в базе данных
Вендор	Cisco Systems Inc.
Наименование ПО	Cisco Unified Communications Manager, Cisco Unified Communications Manager SME
Версия ПО	14 (Cisco Unified Communications Manager) 14 (Cisco Unified Communications Manager SME) от 11.5(1) до 12.5(1)SU8 (Cisco Unified Communications Manager) от 11.5(1) до 12.5(1)SU8 (Cisco Unified Communications Manager SME)
Тип ПО	Сетевое программное средство, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Непринятие мер по защите структуры запроса SQL (атаки типа \"внедрение SQL\")
Идентификатор типа ошибки	CWE-89
Класс уязвимости	Уязвимость кода
Дата выявления	16.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:N CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств межсетевого экранирования для ограничения возможности обращений к серверу базы данных; - удаление/отключение неиспользуемых учетных записей пользователей; - использование виртуальных частных сетей для организации удаленного доступа (VPN). Использование рекомендаций производителя: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-injection-g6MbwH2
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-injection-g6MbwH2
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-20211
Прочая информация	Также для устранения уязвимости можно применить файл патча ciscocm.V14SU3_CSCwe89928_sql-injection_C0194-1.cop.sha512.

Последние изменения