Cisco: ISE'ye kod kaçakçılığı ve daha fazlasıyla ilgili kapalı kritik kusurlar

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

.

Cisco, ürünlerinin güvenliğindeki bazı kritik boşluklar konusunda uyarıyor. Şirket Perşembe akşamı on güvenlik tavsiyesi yayınladı.

Duyurudan sonra devamını okuyun

Bunların en ciddisi, Cisco'nun Kimlik Hizmetleri Motorunda (ISE) bulunan ve ağdan kötü amaçlı kodların girmesine izin veren güvenlik açıklarıdır. ISE ve ISE Pasif Kimlik Bağlayıcısında (ISE-PIC), oturum açmış yöneticiler ağdan kötü amaçlı kod çalıştırabilir veya savunmasız örneklere çapraz yol saldırıları gerçekleştirebilir (CVE-2026-20147, CVSS) 9.9risk”eleştirmen“; CVE-2026-20148, CVSS 4.9risk”orta“). Saldırganların en azından salt okunur yönetici oturum açma verileri varsa, bunu ağdan ISE örneklerinin işletim sistemine rastgele komutlar kaçırmak ve böylece ağdan kod kaçırmak için kullanabilirler (CVE-2026-20180, CVE-2026-20186, her ikisi de CVSS) 9.9risk”eleştirmen“).Boşlukları doldurmak için güncellemeler mevcut.

Saldırganlar ayrıca Cisco Webex web konferansı yazılımına da zarar verebilir. Webex hizmetlerinde Control Hub ile Tek Oturum Açma (SSO) entegrasyonunda yetersiz sertifika denetimi nedeniyle, ağ saldırganları hizmetteki herhangi bir kullanıcının kimliğine bürünebilir. Saldırganlar, meşru Webex hizmetlerine yetkisiz erişim elde etmek için hazırlanmış bir jeton göndererek bir hizmet uç noktasına bağlanarak oturum açmadan bundan yararlanabilir (CVE-2026-20184, CVSS) 9.8risk”eleştirmen“). Bu bir bulut hizmeti olduğu için Cisco, sunucu tarafındaki sorunu zaten ele aldı. Ancak, SSO kullanan müşterilerin hizmet kesintisini önlemek için yeni bir kimlik sağlayıcı sertifikası (SAML IdP) yüklemeleri gerekiyor. Cisco, şu ana kadar ağdaki boşlukların kötüye kullanıldığına dair herhangi bir rapor bildirilmediğini söylüyor.

Cisco ek güvenlik boşluklarını dolduruyor

Ağ sağlayıcısı ayrıca “orta” risk derecesi verilen diğer güvenlik açıklarını da listeliyor:

Yöneticiler, güvenlik açığı bulunan Cisco ürünlerini kullanıp kullanmadıklarını kontrol etmeli ve mevcut güncellemeleri derhal uygulamalıdır.

Cisco yakın zamanda iki hafta önce birkaç güvenlik tavsiyesi yayınladı. Ayrıca bazı kritik güvenlik açıklarını da ele aldılar.

Duyurudan sonra devamını okuyun


(Bilmiyorum)

Yayımlandı

kategorisi

yazarı:

admin

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir