Разработчики Cisco решили серию серьезных проблем в нескольких своих продуктах, устранив угрозы исполнения кода и DoS-атак. Пакет из 47 обновлений включил заплатки к одному критическому багу и нескольким особо опасным ошибкам.

Самые серьезные уязвимости были обнаружены в решениях Cisco Prime Infrastructure (PI) и Evolved Programmable Network (EPN) Manager. Они позволяют управлять аппаратной инфраструктурой в области телекоммуникаций. Критически опасная угроза (9,8 балла по шкале CVSS v3.0) содержалась в веб-интерфейсе приложений. Из-за некорректной проверки поступающих данных злоумышленник получал возможность выполнить на целевой машине произвольный код с root-привилегиями. Этот сценарий объединяет в себе три бага — CVE-2019-1821, CVE-2019-1822 и CVE-2019-1823.

Уязвимости CVE-2019-1824 и CVE-2019-1825 создавали похожую угрозу при обработке SQL-запросов. В этом случае проблемы тоже связаны с валидацией входящих данных — вредоносную команду можно было отправить приложению в HTTP-пакете.

Другие серьезные баги включают CVE-2019-1771, CVE-2019-1772 и CVE-2019-1773, которые содержались в Cisco Webex Network Recording Player и Cisco Webex Player для Windows. Они грозили исполнением стороннего кода, которого можно было добиться с помощью скомпрометированных мультимедийных файлов.

Подавляющая часть остальных уязвимостей получили среднюю оценку угрозы.

Разработчики также дополнили и без того внушительный список продуктов, для которых актуальна проблема с безопасной загрузкой — о ее существовании стало известно буквально несколько дней назад. Уязвимость CVE-2019-1649 содержится в веб-интерфейсе миллионов устройств Cisco по всему миру, позволяя взломщикам вызывать критические ошибки оборудования и вносить изменения в его прошивку.

Категории: Уязвимости