シスコは最近、次のような問題に対処しました。 重大なセキュリティ上の欠陥 Unity Connection で. Unity Connection は、さまざまなプラットフォーム向けに設計された完全に仮想化されたメッセージングおよびボイスメール ソリューションです。, 電子メールの受信箱を含む, ウェブブラウザ, シスコジャバー, Cisco Unified IP Phone, スマートフォン, とタブレット. 脆弱性, CVE-2024-20272 として知られています, ソフトウェアの Web ベースの管理インターフェイスで発見されました, 認証されていない攻撃者がパッチを当てていないデバイス上でリモートから root 権限を取得できる可能性がある.
CVE-2024-20272 の詳細
この脆弱性は、特定の API での認証の欠如と、ユーザーが提供したデータの不適切な検証に起因します。. 攻撃者は、標的のシステムに任意のファイルをアップロードすることでこの弱点を悪用する可能性があります。, 基盤となるオペレーティング システム上でコマンドを実行できるようにする. 悪用に成功した場合, 攻撃者は悪意のあるファイルをシステムに保存する可能性があります, 任意のコマンドを実行する, そして権限をrootに昇格させます.
幸運, シスコの製品セキュリティ インシデント対応チーム (PSIRT) 公的な概念実証エクスプロイトや実際に活発なエクスプロイトが行われたという証拠は見つかっていません。. それにもかかわらず, 同社は提供されたパッチを速やかに適用するようユーザーに呼びかけている.
Unity Connection の欠陥に対処することに加えて、, シスコは、複数の製品にわたる 10 個の中重大度のセキュリティ脆弱性をパッチしました. これらの脆弱性により、攻撃者が権限を昇格できる可能性があります, クロスサイトスクリプティングを起動する (XSS) 攻撃, コマンドを挿入する, もっと. 特に, コンセプトの証明 これらの欠陥のいずれかを悪用するコードがオンラインで入手可能です (CVE-2024-20287) Cisco の WAP371 ワイヤレス アクセス ポイントの Web ベース管理インターフェイスにあります.
シスコは、WAP371 デバイスが 6 月にサポート終了になったことを強調 2019 と, したがって, CVE-2024-20287 のセキュリティ欠陥に対処するためのファームウェア アップデートは受信されません. このデバイスをお持ちのお客様は、Cisco Business 240AC アクセス ポイントに移行することをお勧めします。.
このセキュリティ アップデートは、2 つのゼロデイ脆弱性に対するシスコの対応に続くものです (CVE-2023-20198 および CVE-2023-20273) 10月中, を侵害するために悪用された 50,000 1 週間以内の IOS XE デバイス. シスコは、潜在的なサイバー脅威からユーザーを守るために、積極的に脆弱性に対処し、パッチを適用することで製品のセキュリティを優先し続けています。. セキュリティ リスクを効果的に軽減するために、提供されたアップデートを適用し、シスコの推奨事項に従うことを強くお勧めします。.