「Cisco Unity Connection」に深刻な脆弱性 - アップデートを提供
Cisco Systemsが提供するメッセージングやボイスメールのソリューション「Cisco Unity Connection」に深刻な脆弱性が明らかとなった。アップデートが提供されている。
同製品のウェブ管理インタフェースにおいて、認証なしにファイルをアップロードすることが可能となる脆弱性「CVE-2024-20272」が明らかとなったもの。
APIにおける認証やファイル検証の不備に起因し、基盤となるOSにおいてroot権限を取得され、任意のコマンドを実行されるおそれがある。脆弱性の悪用は確認されていない。
同社は、機密性、完全性、可用性への影響を「低(Low)」としており、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.3」にとどまる。一方、重要度については4段階中もっとも高い「クリティカル(Critical)」とレーティングした。
同社は、脆弱性を修正した「同14.0.1.14006-5」「同12.5.1.19017-4」をリリース。「同15」については影響を受けない。アップデートはダウンロードセンターにて提供しておらず、テクニカルサポートの窓口へ問い合わせるよう求めている。
(Security NEXT - 2024/01/12 )
ツイート
PR
関連記事
Fortraの特権アクセス管理製品「BoKS」に脆弱性 - アップデートで修正
NVIDIAのロボティクス基盤「Isaac Launchable」に深刻な脆弱性
社内侵入の痕跡確認されず、クラウドサービスは個別対応 - BBT
高校で生徒の個人情報含む記録簿を紛失 - 大阪府
委託先でメール誤送信、講座受講者のメアド流出 - 神奈川県
「SSHコンソーシアムTOKAI」の情報発信サイトが改ざん被害
企業サイトが負荷上昇で断続的に停止、原因など調査 - コスミック
事故関係の通話内容含む一部記録媒体が所在不明 - 東京海上ダイレクト
遠隔アクセス用サーバ経由で侵入、個人情報流出の可能性も - サカタのタネ
顧客管理システムの開発委託先で侵害 - 日産ディーラーの個人情報が流出
