در هفتهی جاری، شرکت سیسکو بهمنظور رفع آسیبپذیریهای با شدت بالای موجود در تلفنهای تحت شبکهی سری ۸۸۰۰ و ۷۸۰۰ خود، مجموعهای از وصلههای امنیتی را منتشر کرد. در این بهروزرسانی، در مجموع ۵ آسیبپذیری وصله شدند که تمامی آنها رابط مدیریت مبتنی بر وب نرمافزار پروتکل شروع جلسه (SIP) تلفن تحت شبکهی سری ۸۸۰۰ را تحت تأثیر قرار میدادند.
اولین آسیبپذیری که با شناسهی CVE-2019-1765 ردیابی میشود، یک اشکال پیمایش مسیر است که امکان نوشتن فایلهای دلخواه بر روی سیستم فایل را برای یک مهاجم راه دور احرازهویتشده فراهم میسازد. این ضعف امنیتی بهدلیل اعتبارسنجی نامناسب اطلاعات ورودی و مجوزهای سطوح دسترسی به فایل ایجاد شده است و میتواند با آپلود فایلهای نامعتبر بر روی دستگاه آسیبدیده مورد بهرهبرداری قرار گیرد.
اشکال دوم که شناسهی CVE-2019-1766 به آن اختصاص داده شده است، میتواند توسط یک مهاجم راه دور و ناشناخته با هدف بهرهوری بالای دیسک برای انجام حملهی منع سرویس (DoS) مورد بهرهبرداری قرار بگیرد. این اشکال در نرمافزار آسیبدیده وجود دارد و حداکثر اندازهی فایلهای خاصی را که میتوانند بر روی دیسک نوشته شوند، محدود نمیکند. آسیبپذیری سوم با شناسهی CVE-2019-1763 میتواند برای دور زدن مجوزها و دسترسی به سرویسهای بحرانی مورد بهرهبرداری قرار گرفته و موجب حملهی منع سرویس شود. این اشکال از ناتوانی در پاکسازی نشانیهای وب (URL) قبل از پردازش درخواستها ناشی شده و میتواند با ارسال یک نشانی وب طراحیشده نمایان شود.
آسیبپذیری CSRF نیز که با شناسهی CVE-2019-1764 ردیابی شده و نرمافزار پروتکل شروع جلسه را تحت تأثیر قرار میدهد، بهدلیل محافظتهای ناکافی از رابط مدیریت مبتنی بر وب یک دستگاه آسیبدیده در برابر حملهی CSRF ایجاد شده است. مهاجم میتواند با فریب کاربر برای مشاهدهی یک لینک جعلی این اشکال را مورد بهرهبرداری قرار دهد. در نهایت، اشکال پنجم یک آسیبپذیری اجرای کد از راه دور (CVE-2019-1716) است که تلفنهای تحت شبکهی سری ۸۸۰۰ و ۷۸۰۰ را تحت تأثیر قرار میدهد و بهدلیل اعتبارسنجی نامناسب ورودیهای ارسالشده توسط کاربر در حین احراز هویت ایجاد شده است.
اوایل این هفته، شرکت سیسکو آسیبپذیری CVE-2019-1591 در نرمافزار ACI Mode Switch و آسیبپذیریهای دسترسی غیرمجاز به سیستم فایل (CVE-2019-1601)، منع سرویس (CVE-2019-1616)، اشکال اعتبارسنجی نامناسب امضاهای دیجیتالی تصاویر نرمافزاری (CVE-2019-1615) و تزریق فرمان (CVE-2019-1613) در نرمافزار NX-OS سری ۹۰۰۰ نکسوس را نیز وصله کرده بود.
