Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Cisco Expressway」「Cisco TelePresence VCS」に複数の深刻な脆弱性

「Cisco Expresswayシリーズ」「Cisco TelePresence Video Communication Server(VCS)」に複数の深刻な脆弱性が明らかとなった。アップデートが提供されている。

両製品において、APIやウェブ管理インタフェースに脆弱性2件が明らかとなったもの。同社のセキュリティテスト中に発見したもので、悪用は確認されていないという。

「CVE-2022-20754」は、APIにおけるディレクトリトラバーサルの脆弱性。コマンド引数の入力検証が不十分なため、任意のファイルを書き込み、root権限でコードを実行されるおそれがある。

また「CVE-2022-20755」は、ウェブ管理インタフェースに存在。コマンド引数の入力検証が不十分であり、細工したコマンドによってrootユーザーとして任意のコードを実行されるおそれがある。

いずれも脆弱性の悪用には、アプリケーションにおいて読み書きの権限が必要だという。共通脆弱性評価システム「CVSSv3.1」のベーススコアはともに「9.0」。重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。

回避策はなく、同社では脆弱性を修正した「同14.0.5」へアップデートすることを推奨している。

(Security NEXT - 2022/03/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

メール誤送信でキャンペーン参加事業者のメアド流出 - 三重県
し尿収集業者が収集申込者の個人情報を紛失 - 広島市
2月3日ごろより「VMware ESXi」のランサム被害急増- 国内でも発生か
市立保育所で児童の個人情報含むUSBメモリが所在不明 - 赤穂市
「ビックカメラ」を装うフィッシング攻撃に注意を
QNAP製品のファームウェアに深刻な脆弱性 - 対象は限定的
「Cisco ISE」の脆弱性、順次パッチ提供 - リリース後は悪用コードが利用可能に
点訳ボランティア宛の案内メールで誤送信 - 堺市の指定管理者
広告業務の委託先で電子媒体を紛失 - 国交省
「配達できない」などとうそ - ヤマト運輸のフィッシングに注意