خانه » CVE-2024-20457

CVE-2024-20457

آسیب پذیری افشای اطلاعات در پلتفرم مدیریت یکپارچه تماس و ارتباطات سیسکو (Unified CM IM&P) لینک آخر مراجع فونتش درست شود

توسط Vulnerbyte_Alerts

چکیده

این آسیب پذیری در سیستم کنترل تماس و ارتباطات یکپارچه سیسکو (Unified CM IM&P) به عنوان یک تهدید مشکل ساز طبقه بندی شده است. آسیب پذیری گزارش شده، منجر به افشای اطلاعات حساس روی دستگاه می شود. حمله می تواند از راه دور صورت پذیرد. در حال حاضر اکسپلویتی در این زمینه در دسترس نیست. پیشنهاد می شود دستگاه آسیب پذیر پچ شود.

توضیحات

آسیب پذیری موجود در بخش لاگ Cisco CM IM&P امکان مشاهده اطلاعات حساس رمزگذاری نشده (Clear text) روی یک سیستم آسیب پذیر را برای مهاجم احراز هویت شده از راه دور فراهم می کند.

این تهدید ناشی از ذخیره داده های احراز هویت رمزنگاری نشده در لاگ های مشخص است. یک مهاجم با دسترسی به این لاگ ها و دریافت اعتبارنامه هایی که در حالت عادی امکان دستیابی به آنها برایش وجود نداشت، می تواند از این آسیب پذیری سواستفاده کند .

سیسکو بروزرسانی های نرم افزاری برای رفع این آسیب پذیری ارائه کرده است.

cvss

Score Severity Version Vector String
6.5 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

لیست محصولات آسیب پذیر

محصولات آسیب پذیر عبارتند از[5][1][2] :

لیست محصولات بروز شده

زمانی که کاربری قصد ارتقای نرم افزاری دارد، می بایست به شکل منظم اعلامیه های محصولات سیسکو در صفحه اعلامیه های امنیتی سیسکو را چک کند تا از راهکارهای ارتقا محصول به طور کامل اطلاع پیدا کند.

در همه موارد, مشتریان می بایست پیش از ارتقا از داشتن فضای کافی در دستگاه اطمینان حاصل کنند و مطمئن شوند که تنظیمات سخت افزاری و نرم افزاری فعلی بوسیله نسخه جدید پشتیبانی میشود. برنامه برای اجرا، به مسیر و محیط متغیر یک برنامه دیگر برای استفاده از آن بعنوان مسیر خود نیاز دارد.

در زمان انتشار این اعلامیه، اطلاعات ارائه شده در جدول زیر کامل و دقیق می باشد.

نسخه های آسیب پذیر Cisco Unified CM IM&P نسخه اصلاحی اولیه
12.5(1) and earlier 12.5(1)SU9
14 14SU5 (2025)
15 15SU2

نتیجه گیری

اشتباهات متعددی ممکن است رخ دهند که زمینه را برای افشای اطلاعات حساس به مهاجم احراز هویت نشده فراهم کند. سطح این خطاها بسته به عملکرد دستگاه ها، نوع اطلاعات آشکار شده و مزیت هایی که افشای این اطلاعات برای مهاجم فراهم می کند می تواند متفاوت باشد. آسیب پذیری بررسی شده در این اعلامیه با ارتقاهای نرم افزاری ارائه شده توسط سیسکو، برطرف می گردد.

منابع

 

  1. https://www.cve.org/CVERecord?id=CVE-2024-20457
  2. https://www.cvedetails.com/cve/CVE-2024-20457/
  3. https://vuldb.com/?id.283328
  4. https://nvd.nist.gov/vuln/detail/CVE-2024-20457
  5. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-imp-inf-disc-cUPKuA5n
  6. https://cwe.mitre.org/data/definitions/200.html

همچنین ممکن است دوست داشته باشید

پیام بگذارید