Cisco предупреждает о множественных уязвимостях в ряде продуктов

03.12.2015

Три неисправленные бреши затрагивают несколько ключевых продуктов компании.

Компания Cisco выпустила несколько бюллетеней безопасности с описанием ряда уязвимостей в некоторых продуктах. Неисправленные бреши затрагивают продукты Cisco Unified Computing System, Cisco Unity Connection и Cisco Unified SIP Phone 3905.

Бюллетень Cisco-SA-20151201-UCS1 описывает уязвимость в платформе для дата-центров Cisco Unified Computing System (UCS), позволяющую удаленному пользователю осуществить CSRF-атаку. Бреши подвержена версии UCS 1.3 и 1.3.0.1. Уязвимость существует из-за недостаточной проверки подлинности HTTP-запросов. Злоумышленник может с помощью специально сформированной страницы выполнить некоторые действия от имени пользователя.

Бюллетень Cisco-SA-20151202-PCA описывает брешь в программе по обмену сообщениями и голосовой почтой Cisco Unity Connection версии 9.1. Уязвимость существует из-за некорректной проверки пользовательских данных. Удаленный пользователь может с помощью специально сформированной ссылки выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

В бюллетене Cisco-SA-20151202-SIP описывается уязвимость в SIP-телефоне Cisco SIP Phone 3905. Брешь существует из-за ресурсных ограничений устройства и позволяет удаленному пользователю осуществить DoS-атаку путем отправки большого объема трафика на целевой аппарат.

Вместе с тем компания исправила уязвимость повышения привилегий в Cisco WebEx Meetings for Android. Брешь позволяет злоумышленнику повысить привилегии на системе с помощью предустановленного вредоносного приложения. Уязвимость затрагивает Cisco WebEx Meetings for Android 8.5.1 и более ранние версии приложения.

Источник: www.securitylab.ru