Múltiples vulnerabilidades en productos Cisco
Cisco Expressway Series y Cisco TelePresence VCS, versión 14.0 y anteriores.
Jason Crowder, investigador de Cisco ASIG (Advanced Security Initiatives Group), durante unas pruebas de seguridad internas, descubrió 2 vulnerabilidades críticas que podrían permitir a un atacante remoto autenticado, con privilegios de lectura/escritura en la aplicación, escribir archivos o ejecutar código arbitrario en el sistema operativo subyacente de un dispositivo afectado con privilegios de root.
Actualizar Cisco Expressway Series y Cisco TelePresence VCS a la versión 14.0.5.
Las 2 vulnerabilidades, identificadas en la API de la base de datos del clúster y en la interfaz de gestión basada en la web respectivamente, originadas por una insuficiente validación de entrada de los argumentos de comandos suministrados por el usuario, podrían explotarse autenticándose en el sistema como administrador y enviando una entrada especialmente diseñada al comando afectado. Se han asignado los identificadores CVE-2022-20754 y CVE-2022-20755 para estas vulnerabilidades.