شرکت سیسکو از وجود یک اشکال بحرانی در دو ابزار مدیریت مجوز خود هشدار داد. این اشکال به مهاجم راه دور اجازه میدهد که درخواستهای دلخواه خود را بر روی سیستم قربانی اجرا کند. یک حملهی موفقیتآمیز با بهرهبرداری از این آسیبپذیری، میتواند امکان تغییر و حذف دادههای تصادفی در برنامههای مدیریت طول عمر محصولات سیسکو را برای مهاجم فراهم کند.
این آسیبپذیری که با شناسهی CVE-2018-15441 ردیابی میشود، به کد چارچوب مبتنی بر وب (Cisco Prime License Manager (PLM متصل است و به مهاجم ناشناس راه دور اجازه میدهد تا پرسوجوهای دلخواه SQL را اجرا کند. به گفتهی سیسکو، این آسیبپذیری از عدم اعتبارسنجی مناسب ورودیهای واردشده توسط کاربر در پرسوجوهای SQL ناشی میشود. مهاجم میتواند از طریق ارسال یک درخواست HTTP POST جعلی حاوی SQLهای مخرب به یک برنامهی آسیبدیده، از این آسیبپذیری بهرهبرداری کند. نسخهی ۱۱٫۰٫۱ و بعد از آن Cisco Prime License Manager تحت تأثیر این آسیبپذیری قرار گرفتهاند و محصولات آسیبدیده، Cisco Unified Communications Manager و Cisco Unity Connection هستند.
در این هشدار که روز چهارشنبه از طریق یک مشاورنامهی امنیتی سیسکو صادر شد، این شرکت اعلام کرده است که هیچ روش تعبیهشدهای برای اجتناب از این اشکال وجود ندارد و مشتریان آسیبدیده و مدیران شبکه باید وصلههای نرمافزاری منتشر شده را بهصورت دستی نصب کنند. برای این آسیبپذیری، وصلهی «ciscocm.CSCvk30822_v1.0.k3.cop.sgn» توسط مرکز نرمافزاری سیسکو منتشر شده است. این آسیبپذیری در سیستم امتیازدهی آسیبپذیری عام، نمرهی ۹٫۸ از ۱۰ را کسب کرده است. همچنین سیسکو اعلام کرد از اینکه این آسیبپذیری در دنیای واقعی مورد بهرهبرداری قرار گرفته است یا خیر، اطلاعی ندارد.