EN

Tilkynna atvik

EN

Tilkynna atvik
  • Frettasafn
  • /
  • frett
  • /
  • Fréttir
  • Alvarlegir veikleikar í Unified CM og Unified CM SME frá Cisco og CODESYS V3 SDK

Alvarlegir veikleikar í Unified CM og Unified CM SME frá Cisco og CODESYS V3 SDK

Tilkynnt hefur verið um alvarlega veikleika í Cisco Unified Communications Manager (Unified CM), Unified Communications Manager Session Management Edition (Unified CM SME) og CODESYS V3 SDK. CERT-IS hvetur notendur til að keyra inn öryggisuppfærslur, eins fljótt og kostur er.

Veikleikar í Unified CM og Unified CM SME frá Cisco

CVE-2023-20211

Veikleikinn hefur CVSSv3 skor uppá 8.1 og er lýst sem lakri fullgildingu á ílagi frá notanda (e. improper validation of user-supplied input) sem getur heimilað SQL innspýtingu. Slíka árás mætti nýta til að auka réttindi notanda (e. privilege escalation) eða breyta gögnum í undirliggjandi gagnagrunnum. Gefinn hefur verið út kóði (e. POC) sem notfærir sér veikleikann [1,2].

Eftirfarandi útgáfur af Cicso Unified CM og Unified CM SME eru háðar veikleikanum

  • 11.5(1)
  • 12.5(1)
  • 14

Eftirarandi eru uppfærsluleiðbeiningar fyrir ofangreindar útgáfur

  • 11.5(1) – Uppfærsla ekki í boði fyrir 11.5, mælt með að uppfæra í 12.5(1)SU8
  • 12.5(1) – uppfærslan 12.5(1)SU8
  • 14 – Keyra upp patch ciscocm.V14SU3_CSCwe89928_sql-injection_C0194-1.cop.sha512

Veikleikar í CODESYS V3 SDK

CODESYS V3 SDK – hæsta CVSSv3 8.8

Microsoft hefur gefið út grein vegna alvarlegra veikleika í CODESYS V3 SDK þar sem þeir alvarlegustu hafa veikleikastig CVSSv3 upp á 8.8. Misnotkun á þeim getur leitt til fjarkeyrslu á kóða (e. remote code execution) og álagsárása (e. DoS) [3]. Til þess að misnota veikleikana þarf ógnaraðilinn að vera auðkenndur notandi en nú hefur verið sýnt fram að hægt er að nýta CVE-2019-9013 til þess að sniðganga auðkenningarferlið [4]. CODESYS V3 SDK er víða notað og má finna í u.þ.b. 1000 tegundum tækja [5].

Eftirfarandi útgáfur eru háðar veikleikanum

CODESYS V3 SDK < 3.5.19.0

Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum

CODESYS V3 SDK >= 3.5.19.0

 

Tilvísanir:

[1] https://www.securityweek.com/cisco-patches-high-severity-vulnerabilities-in-enterprise-applications/
[2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-injection-g6MbwH2
[3] https://www.microsoft.com/en-us/security/blog/2023/08/10/multiple-high-severity-vulnerabilities-in-codesys-v3-sdk-could-lead-to-rce-or-dos/
[4] https://www.theregister.com/2023/08/11/microsoft_codesys_bugs/
[5] https://www.codesys.com/the-system/codesys-inside.html

Facebook Twitter Linkedin Google-plus-g Pinterest Envelope

Deildu núna

Nýjustu fréttirnar

Categories

  • Caregiver Tips
  • Continence Care
  • Family Care
  • Mom + Baby Care
  • Personal Care
  • Pharmacy
  • Senior Living
  • Uncategorized

Post Tags

  • Sími:
  • © Netöryggissveitin
  • Kt.: 570397-2499 (Fjarskiptastofa)

Persónuverndarstefna

Scroll to Top

Um okkur

Fræðsla

Leiðbeiningar í atvikum

Fréttir og tilkynningar

Skýrslur og útgefið efni