發佈編號:TACERT-ANA-2023020210024444
發佈時間:2023-02-02 10:41:00
事故類型:ANA-漏洞預警
發現時間:2023-02-02 09:56:14
影響等級:中
[主旨說明:]
【漏洞預警】Cisco 近日發布更新以緩解Unified CM、Unified CM SME的安全性弱點,建議請管理者儘速評估更新!
[內容說明:]
轉發 中華資安國際 CHTSecurity-ANA-202302-0003
Cisco Unified Communications Manager (Unified CM) 和 Cisco Unified Communications Manager 會話管理版 (Unified CM SME) 基於 Web 的管理界面中存在一個弱點,可能允許經過身份驗證的遠程攻擊者對受影響的系統進行 SQL 注入攻擊。
此弱點的存在是因為基於 Web 的管理界面無法充分驗證用戶輸入。攻擊者可以通過以低特權用戶身份向應用程序進行身份驗證並將精心設計的 SQL 查詢發送到受影響的系統來利用此弱點。成功的利用可能允許攻擊者讀取或修改底層數據庫上的任何數據或提升他們的特權。HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
[影響平台:]
● Cisco Unified CM 和 Unified CM SME realease 11.5(1) (含)之前版本
● Cisco Unified CM 和 Unified CM SME realease 12.5(1)SU7 之前版本
● Cisco Unified CM 和 Unified CM SME realease 14SU3 之前版本
[建議措施:]
請參考 Cisco 官方網站的說明和處理建議:
(1) Cisco Unified CM 和 Unified CM SME realease 11.5(1) 之後版本
(2) Cisco Unified CM 和 Unified CM SME realease 12.5(1)SU7 (含)之後版本
(3) Cisco Unified CM 和 Unified CM SME realease 14SU3 (含)之後版本
[參考資料:]
Cisco Unified Communications Manager SQL Injection Vulnerability
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw