Cisco ໄດ້ແຈ້ງເຕືອນຊ່ອງໂຫວ່ຄວາມຮຸນແຮງສູງໃນ Unified Communications ແລະ Contact Center ຄວາມຮຸນແຮງລະະດັບ 9.9 ຜູ້ເບິ່ງແຍງລະບົບຄວນປັບປຸງທັນທີ
ຊ່ອງໂຫວ່ CVE-2024-20253 ເປັນຊ່ອງໂຫວ່ລະດັບ Critical ມີຄະແນນຕາມ CVSS ທີ່ 9.9/10 ຄະແນນ ເກີດຂຶ້ນໃນຜະລິດຕະພັນ Cisco Unified Communications ແລະ Contact Center Solutions ເຮັດໃຫ້ຜູ້ໂຈມຕີ ສາມາດຣັນ (Run) ຄຳສັ່ງເທິງອຸປະກອນໄດ້ແບບ Remote ໂດຍທີ່ບໍ່ຈຳເປັນຕ້ອງຢືນຢັນຕົວຕົນຈົນສາມາດເຂົ້າເຖິງລະບົບໄດ້ໃນລະດັບ root access ຊຶ່ງຊ່ອງໂຫວ່ເກີດຂຶ້ນໃນຂະບວນການອ່ານຂໍ້ມູນເຂົ້າສູ່ຫນ່ວຍຄວາມຈຳ ຜູ້ໂຈມຕີພຽງແຕ່ສົ່ງຂໍ້ມູນທີ່ສ້າງຂຶ້ນມາແບບພິເສດໄປທີ່ Listening port ກໍສາມາດໂຈມຕີໄດ້ແລ້ວ ຊ່ອງໂຫວ່ນີ້ກະທົບກັບຜະລິດຕະພັນດັ່ງນີ້:
- Packaged Contact Center Enterprise (PCCE) ຮຸ່ນ 12.0 ແລະ ຮຸ່ນກ່ອນໜ້າ, 12.5(1) ແລະ 12.5(2)
- Unified Communications Manager (Unified CM) ຮຸ່ນ 11.5, 12.5(1), ແລະ 14
- Unified Communications Manager IM & Presence Service (Unified CM IM&P) ຮຸ່ນ 11.5(1), 12.5(1), ແລະ 14
- Unified Contact Center Enterprise (UCCE) ຮຸ່ນ 12.0 ແລະ ຮຸ່ນກ່ອນໜ້າ, 12.5(1), ແລະ 12.5(2)
- Unified Contact Center Express (UCCX) ຮຸ່ນ 12.0 ແລະ ຮຸ່ນກ່ອນໜ້າ, 12.5(1)
- Unity Connection ຮຸ່ນ 11.5(1), 12.5(1), ແລະ 14
- Virtualized Voice Browser (VVB) ຮຸ່ນ 12.0 ແລະ ຮຸ່ນກ່ອນໜ້າ, 12.5(1), ແລະ 12.5(2)
Cisco ໄດ້ອອກຕົວປັບປຸງຮຽບຮ້ອຍແລ້ວ ແລະ ປະຈຸບັນຍັງບໍ່ມີ Workaround ເພື່ອແກ້ໄຂບັນຫານີ້ ຜູ້ເບິ່ງແຍງລະບົບຄວນປັບປຸງທັນທີ ຫລື ຫາກບໍ່ສາມາດປັບປຸງໄດ້ທັນທີ ຜູ້ເບິ່ງແຍງລະບົບຄວນເຮັດການຕັ້ງຄ່າ Access Control List (ACL) ເພື່ອປ້ອງກັນການເຂົ້າເຖິງລະບົບຊົວຄາວ.
ທີ່ມາ : www.bleepingcomputer.com/news/security/cisco-warns-of-critical-rce-flaw-in-communications-software/
