Cisco corrige une vulnérabilité à haut risque affectant le logiciel Unity Connection


11 janvier 2024RédactionGestion des vulnérabilités / correctifs

Cisco a publié des mises à jour logicielles pour corriger une faille de sécurité critique affectant Unity Connection et qui pourrait permettre à un adversaire d’exécuter des commandes arbitraires sur le système sous-jacent.

Suivi comme CVE-2024-20272 (score CVSS : 7,3), la vulnérabilité est un bug de téléchargement de fichiers arbitraire résidant dans l’interface de gestion Web et est le résultat d’un manque d’authentification dans une API spécifique et d’une validation inappropriée des données fournies par l’utilisateur.

“Un attaquant pourrait exploiter cette vulnérabilité en téléchargeant des fichiers arbitraires sur un système affecté”, a déclaré Cisco. dit dans un avis publié mercredi. “Un exploit réussi pourrait permettre à l’attaquant de stocker des fichiers malveillants sur le système, d’exécuter des commandes arbitraires sur le système d’exploitation et d’élever les privilèges au niveau root.”

La cyber-sécurité

La faille affecte les versions suivantes de Cisco Unity Connection. La version 15 n’est pas vulnérable.

  • 12.5 et versions antérieures (corrigé dans la version 12.5.1.19017-4)
  • 14 (Corrigé dans la version 14.0.1.14006-5)

Le chercheur en sécurité Maxim Suslov a été reconnu pour avoir découvert et signalé la faille. Cisco ne fait aucune mention du bug exploité dans la nature, mais il est conseillé aux utilisateurs de mettre à jour vers une version corrigée pour atténuer les menaces potentielles.

Parallèlement au correctif pour CVE-2024-20272, Cisco a également fourni des mises à jour pour résoudre 11 vulnérabilités de gravité moyenne couvrant ses logiciels, notamment Identity Services Engine, le point d’accès sans fil WAP371, ThousandEyes Enterprise Agent et TelePresence Management Suite (TMS).

Cisco a toutefois indiqué qu’il n’avait pas l’intention de publier un correctif pour le bogue d’injection de commandes dans WAP371 (CVE-2024-20287score CVSS : 6,5), indiquant que l’appareil a atteint la fin de vie (EoL) en juin 2019. Il recommande plutôt aux clients de migrer vers le point d’accès Cisco Business 240AC.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57