Cisco corrige une vulnérabilité à haut risque affectant le logiciel Unity Connection

11 janvier 2024RédactionGestion des vulnérabilités / correctifs

Logiciel de connexion Unity

Cisco a publié des mises à jour logicielles pour corriger une faille de sécurité critique affectant Unity Connection et qui pourrait permettre à un adversaire d’exécuter des commandes arbitraires sur le système sous-jacent.

Suivi comme CVE-2024-20272 (score CVSS : 7,3), la vulnérabilité est un bug de téléchargement de fichiers arbitraire résidant dans l’interface de gestion Web et est le résultat d’un manque d’authentification dans une API spécifique et d’une validation inappropriée des données fournies par l’utilisateur.

« Un attaquant pourrait exploiter cette vulnérabilité en téléchargeant des fichiers arbitraires sur un système affecté », a déclaré Cisco dans un avis publié mercredi. « Un exploit réussi pourrait permettre à l’attaquant de stocker des fichiers malveillants sur le système, d’exécuter des commandes arbitraires sur le système d’exploitation et d’élever les privilèges au niveau root. »

La cyber-sécurité

La faille affecte les versions suivantes de Cisco Unity Connection. La version 15 n’est pas vulnérable.

  • 12.5 et versions antérieures (corrigé dans la version 12.5.1.19017-4)
  • 14 (Corrigé dans la version 14.0.1.14006-5)

Le chercheur en sécurité Maxim Suslov a été reconnu pour avoir découvert et signalé la faille. Cisco ne fait aucune mention du bug exploité dans la nature, mais il est conseillé aux utilisateurs de mettre à jour vers une version corrigée pour atténuer les menaces potentielles.

Parallèlement au correctif pour CVE-2024-20272, Cisco a également fourni des mises à jour pour résoudre 11 vulnérabilités de gravité moyenne couvrant ses logiciels, notamment Identity Services Engine, le point d’accès sans fil WAP371, ThousandEyes Enterprise Agent et TelePresence Management Suite (TMS).

Cisco a toutefois indiqué qu’il n’avait pas l’intention de publier un correctif pour le bogue d’injection de commandes dans le WAP371 (CVE-2024-20287, score CVSS : 6,5), indiquant que le périphérique avait atteint sa fin de vie (EoL) à compter de Juin 2019. Il recommande plutôt aux clients de migrer vers le point d’accès Cisco Business 240AC.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire davantage de contenu exclusif que nous publions.

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite