Cisco: Unity Connection'da kaçak kod sızıntısı ve diğer kusurlar

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

.

Ağ ekipmanı üreticisi Cisco, bazıları çeşitli ürünlerdeki yüksek riskli güvenlik açıklarını ele alan sekiz güvenlik önerisi yayınladı. Bunlardan en ciddi olanı Cisco'nun Unity Connection'ındaki kötü amaçlı kodların eklenmesine ve yürütülmesine izin veren güvenlik kusurları gibi görünüyor.

Duyurudan sonra devamını okuyun

Cisco'nun Unity Connection'ında iki güvenlik açığı var. En ciddi olanı, kimliği doğrulanmış ağ saldırganlarının, web tabanlı yönetim arayüzüne değiştirilmiş API isteklerini kullanarak kötü amaçlı kod enjekte etmesine ve yürütmesine olanak tanır. Ancak ikinci güvenlik açığı, Unity Connection Web Gelen Kutusu'nun web kullanıcı arayüzünü etkiler ve kimliği doğrulanmamış ağ aktörlerinin sunucu tarafı istek sahteciliği (SSRF) saldırısı gerçekleştirmesine olanak tanır.

SG350 ve SG350X serisi yönetilen anahtarlar, kayıtlı saldırganların hazırlanmış SNMP istekleriyle neden olabileceği bir hizmet reddi güvenlik açığına sahiptir. Kayıtlı olmayan ağ saldırganları, ağ bağlantıları için hız sınırlama mekanizmasının yetersiz uygulanması nedeniyle çok sayıda bağlantı isteği göndererek Cisco'nun Çapraz Çalışma Ağ Denetleyicisini (CNC) ve Ağ Hizmetleri Orkestratörünü (NSO) çökertebilir. Cisco'nun IoT Saha Ağ Direktöründeki birden fazla güvenlik açığı, ağda oturum açan saldırganların komutları yürütmesine, dosyalara erişmesine ve yönetilen yönlendiricilerde hizmet reddi saldırıları gerçekleştirmesine de olanak tanır.

Düzeltilen güvenlik açıklarına genel bakış

Güvenlik açıkları önem derecesine göre ayrıntılı olarak sıralanmıştır:

  • Cisco Unity Connection Uzaktan Kod Yürütme ve Sunucu Tarafı İstek Sahteciliği Güvenlik Açıkları (CVE-2026-20034, CVSS) 8.8;CVE-2026-20035, CVSS 7.2; ikisi de risk altında”yüksek“)
  • Cisco SG350 ve SG350X Serisi Yönetilen Anahtar SNMP Hizmet Reddi Güvenlik Açığı (CVE-2026-20185, CVSS) 7.7risk”yüksek“)
  • Cisco Crosswork Ağ Denetleyicisi ve Cisco Ağ Hizmetleri Orkestratörü Bağlantısının Tükenmesi Hizmet Reddi Güvenlik Açığı (CVE-2026-20188, CVSS) 7.5risk”yüksek“)
  • Cisco IoT Saha Ağı Direktörü Güvenlik Açığı (CVE-2026-20167, CVSS) 7.7risk”yüksek“; CVE-2026-20168, CVSS 6.5risk”orta“; CVE-2026-20169, CVSS 6.4risk”orta“)
  • Cisco Slido Güvenli Olmayan Nesneye Doğrudan Referans Güvenlik Açığı (CVE-2026-20219, CVSS) 5.4risk”orta“)
  • Cisco Kimlik Hizmetleri Motorunda Kimlik Doğrulamasını Atlama Güvenlik Açığı (CVE-2026-20195, CVSS) 5.4; CVE-2026-20193, CVSS 4.3; ikisi de risk altında”orta“)
  • Cisco Prime Altyapı Bilgilerinin İfşa Edilmesi Güvenlik Açığı (CVE-2026-20189, CVSS) 4.3risk”orta“)
  • Cisco Kurumsal Sohbet ve E-posta Lite Aracısı Dosya Yükleme Güvenlik Açığı (CVE-2026-20172, CVSS) 4.3risk”orta“)

Cisco yakın zamanda çeşitli ürünlerdeki birçok güvenlik açığını Nisan ortasında kapattı. Geliştiriciler, örneğin Kimlik Hizmetleri Motoru ve Cisco'nun Webex'indeki on güvenlik açığını kapattı.

Duyurudan sonra devamını okuyun


(Bilmiyorum)

Yayımlandı

kategorisi

yazarı:

admin

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir