Cisco: Farklı ürünlerde güvenlik boşlukları

Dolandırıcı Bildirim

Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.

.

Cisco dört yeni güvenlik iletişimi yayınladı ve bir tanesini güncelledi. Tedavi edilen zayıflıklardan biri, sınıflandırmayı maksimum değerlendirme ile kritik bir risk olarak alır. Boşluklardan bir diğeri yüksek risk olarak kabul edilir.

CISCOS Identity Services Engine (ISE) 'de, ağ saldırganları, kök kullanıcı bağlamında gerçekleştirilen önleyici kimlik doğrulama olmadan işletim sistemine komutlar ekleyebilir. Güvenlik bildirimi başlangıçta Haziran sonundan itibaren geliyor. Ancak Cisco şimdi ona bir güncelleme verdi ve yeni öğe CVE 2025-20282 dışında yeni CVE-2025-20337 / EUVD-2025-21708 öğesine sahip. “Saldırganların boşluğu kötüye kullanmak için geçerli erişim verilerine ihtiyacı yoktur. [..] Bunları manipüle edilmiş bir API isteği göndererek kullanabilirsiniz. Başarı durumunda, saldırganlar ilgili cihazlarda kök hakları alırlar “diye açıklıyor Cisco.

Bununla birlikte, Ciscos Unified Intelligence Center'da, geçerli erişime sahip saldırganlar, web tabanlı yönetim arayüzündeki zayıf bir nokta nedeniyle savunmasız sistemlere herhangi bir dosya yükleyebilir. Cisco, güvenlik bildiriminde “Başarılı bir istismar saldırganların sistemdeki malign dosyaları kaldırmasına ve işletim sistemindeki kontrolleri gerçekleştirmesine izin veriyor”. Kötüye kullanım için, malign aktörlerin en azından “Rapor Tasarımcısı” seviyesine erişmesi gerekir (CVE 2025-20274 / EUVD-2025-21714, CVSS 6.3Ancak, Cisco'ya göre risk “yüksek“). Cisco'nun en büyük riski, saldırganların haklarını kök için genişletebileceğini açıklıyor.

Cisco ürünlerinde daha fazla güvenlik boşluğu

Cisco, üreticinin güncellemelerle onarıldığı diğer güvenlik açıklarını bildirdi.

  • Cisco Kimlik Motoru Uzak Kod Yürütme ve Yetkilendirme Güvenlik Açığının Kimlik Doğrulaması, CVE-2025-20283, CVE 2025-20284, CVE 20285 / EUVD-2025-21711, EUVD-2025-21709, CVSS 6.5Risk “orta
  • Cisco Birleşik İstihbarat Merkezi Sunucu Falsifikasyon Güvenlik Açığı İsteği, CVE-2025-20288 / EUVD-2025-21710, CVSS 5.8Risk “orta
  • Cisco Prime ve Evred Altyapı Programlanabilir Ağ Yöneticisi Kör SQL Enjeksiyonunun Güvenlik Açığı, CVE 2025-20272 / EUVD-2025-21713, CVSS 4.3Risk “orta

BT yöneticileri güncellemeleri zamanında kullanılan cihazlar için kullanmalıdır.


(DMK)

Yayımlandı

kategorisi

yazarı:

admin

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir