در هفتهی جاری سیسکو برای رفع چند آسیبپذیری در محصولات خود ازجمله یک اشکال بحرانی در نرمافزار Unified Contact Center Express (Unified CCX) وصلههای امنیتی منتشر کرد. این آسیبپذیری که با شناسهی CVE-2020-3280 ردیابی میشود و در نمرهدهی CVSS دارای امتیاز ۹٫۸ است، به یک مهاجم اجازه میدهد تا از راه دور کد دلخواه را در یک دستگاه آسیبدیده اجرا کند.
سیسکو تشریح کرد که این مسأله ناشی از deserialization ناامن محتوای کاربر توسط نرمافزار است. مهاجم میتواند یک شیء جاوای serialize شدهی مخرب را به یک listener خاص ارسال کند تا این آسیبپذیری را ایجاد و کد دلخواه را بهعنوان کاربر روت اجرا کند. بهگفتهی سیسکو، این آسیبپذیری امنیتی، Unified CCX نسخههای قبل از ۱۲٫۰ را تحت تأثیر قرار میدهد و در Unified CCX نسخهی ۱۲٫۰ ES03 رفع شده است. Unified CCX نسخهی ۱۲٫۵ آسیبپذیر نیست.
سیسکو همچنین یک بهروزرسانی نرمافزاری برای رفع یک آسیبپذیری با شدت بالا در Prime Network Register منتشر کرد که یک مهاجم راه دور احرازهویتنشده میتوانست از آن برای ایجاد شرایط منع سرویس بهرهبرداری کند. علت وجود این آسیبپذیری این است که ترافیک ورودی DHCP بهدرستی اعتبارسنجی نمیشود، بنابراین به یک مهاجم اجازه میدهد تا درخواستهای DHCP دستکاریشده را به یک دستگاه آسیبدیده ارسال کند و فرآیند سرور DHCP را مجدداً راهاندازی و دسترسی به آن را منع کند.
نسخههایی از Prime Network Register که تحت تأثیر این آسیبپذیری قرار گرفتهاند شامل نسخههای ۸٫۳، ۹٫۰، ۹٫۱، ۱۰٫۰ و ۱۰٫۱ هستند. نسخههای قبل از ۸٫۳ تحت تأثیر قرار نگرفتهاند.
علاوهبرآن، سیسکو آسیبپذیریهای با شدت متوسط را در AMP مربوط به نرمافزار Endpoints Mac Connector و AMP مربوط به نرمافزار Endpoints Linux Connector را رفع کرد که ممکن بود برای ایجاد شرایط منع سرویس و یا ایجاد خرابی و راهاندازی مجدد این سرویس مورد بهرهبرداری قرار گیرد.
سیسکو همچنین جزئیات یک اشکال با شدت متوسط موجود در نرمافزار Collaboration Provisioning را منتشر کرد که برای تزریق SQL قابل بهرهبرداری بود.
این آسیبپذیری که ناشی از اعتبارسنجی نادرست ورودی کاربر است، ممکن است توسط مهاجم احرازهویتنشده و از طریق ارسال درخواستهای مخرب به سیستم آسیبدیده مورد بهرهبرداری قرار گیرد. بنابراین، مهاجم میتواند به اطلاعات دسترسی یابد و تغییراتی در سیستم ایجاد کند و یا اطلاعات را از پایگاه داده حذف کند.
نرمافزار Prime Collaboration Provisioning نسخههای قبل از ۱۲٫۶ SU2 تحت تأثیر این آسیبپذیری قرار گرفتهاند و سیسکو بیان میکند که راهحلی برای رفع این مسأله ندارد. این شرکت خاطرنشان میکند که از اطلاعیههای عمومی یا استفادهی مخرب از آسیبپذیریهای گفتهشده اطلاعی ندارد.