Cisco ออกแพตช์แก้ไขข้อบกพร่องของ Unity Connection

Cisco ได้เปิดตัวการอัปเดตซอฟต์แวร์เพื่อแก้ไขข้อบกพร่องด้านความปลอดภัยที่สำคัญซึ่งส่งผลกระทบต่อ Unity Connection โซลูชันการส่งข้อความและวอยซ์เมลแบบครบวงจร ซึ่งอาจทำให้แฮกเกอร์รันคำสั่งที่เป็นอันตรายบนระบบพื้นฐานได้ตามใจชอบ

โดยข้อบกพร่อง CVE-2024-20272 ความรุนแรงระดับ CVSS: 7.3 คือจุดบกพร่องในการอัปโหลดไฟล์โดยอำเภอใจ ซึ่งอยู่ในอินเทอร์เฟซการจัดการบนเว็บ และเป็นผลมาจากการขาดการรับรองความถูกต้องใน API ที่เฉพาะเจาะจงและการตรวจสอบความถูกต้องที่ไม่เหมาะสมของข้อมูลผู้ใช้

“ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยการอัปโหลดไฟล์ที่กำหนดเองไปยังระบบที่ได้รับผลกระทบ” Cisco กล่าวในคำแนะนำที่เผยแพร่เมื่อเร็วๆ นี้ “หากการเจาะเข้าช่องโหว่นี้สำเร็จ อาจทำให้ผู้โจมตีสามารถอัปโหลดไฟล์ที่เป็นอันตรายเข้าสู่ระบบ และรันคำสั่งที่กำหนดเองบนระบบปฏิบัติการ และยกระดับสิทธิ์ในการรูท”

ข้อบกพร่องนี้ส่งผลกระทบต่อ Cisco Unity Connection 12.5 และเวอร์ชันก่อนหน้า (แก้ไขในเวอร์ชัน 12.5.1.19017-4) และเวอร์ชัน 14 (แก้ไขแล้วในเวอร์ชัน 14.0.1.14006-5) ส่วนเวอร์ชัน 15 ไม่มีช่องโหว่ แต่อย่างใด

ที่มา : thehackernews