หน้าแรก Security Bug พบบั๊ก SQLi ร้ายแรงบน Cisco Unified CM ที่ใช้แก้ข้อมูลและแก้ไขสิทธิ์ได้

พบบั๊ก SQLi ร้ายแรงบน Cisco Unified CM ที่ใช้แก้ข้อมูลและแก้ไขสิทธิ์ได้

แบ่งปัน

ซิสโก้ปล่อยตัวแก้ไขสำหรับ Unified Communications Manager (CM) และ Unified Communications Manager Session Management Edition เพื่ออุดช่องโหว่ร้ายแรงมากเกี่ยวกับ SQL Injection ที่เปิดช่องให้ผู้ใช้สิทธิ์ปกติส่งคิวรี่อันตรายเข้ามาเจาะได้

ผู้โจมตีอาจใช้ช่องโหว่นี้อ่านหรือแก้ไขข้อมูลทุกอย่างบนฐานข้อมูลของระบบ หรือแม้แต่ใช้ยกระดับสิทธิ์การใช้งานของตัวเองได้ด้วย สำหรับ Cisco Unified CM และ Unified CM SME นี้เป็นระบบจัดการเซสชั่นและระบบโทรศัพท์ระดับองค์กรเป็นศูนย์กลางผสานกับแอพอย่าง Webex, Jabber เป็นต้น รวมทั้งดูเรื่องความพร้อมการให้บริการและความปลอดภัยที่เกี่ยวข้อง

ช่องโหว่ตัวนี้อยู่ภายใต้รหัส CVE-2023-20010 คะแนนความร้ายแรงอยู่ที่ 8.1 ตามสเกล CVSS เป็นช่องโหว่ที่เกิดจากการไม่มีกลไกตรวจสอบอินพุตที่ผู้ใช้ป้อนเข้ามาในหน้าเว็บจัดการแพลตฟอร์มอย่างดีเพียงพอ ทั้งนี้ซิสโก้กล่าวว่าไม่มีวิธีแก้ไขหรือป้องกันเบื้องต้นด้วยตนเองได้นอกจากรีบอัพเดทแพ็ตช์ที่เพิ่งออกมาอย่างเวอร์ชั่น 12.5(1)SU7 เท่านั้น

อ่านเพิ่มเติมที่นี่ – GBH