São duas as falhas que foram identificadas como sendo críticas, ambas presentes tanto na API como na interface gráfica de gestão do Expressway e VIdeo Communication Server.
CVE-2022-20754
Esta falha dada cromo crítica trata-se de uma escrita arbitrária de ficheiros nos produtos mencionados. A partir da mesma, seriam possíveis ataques de path traversal (ou atravessamento de diretório) e reescrita de ficheiros no sistema operativo. Esta situação ocorria devido à falta de validação apropriada de argumentos submetidos pelo utilizador. Desta forma, o atacante podia autenticar-se com privilégios de administrador e submeter um argumento específico.
CVE-2022-20755
Por sua vez, esta falha é de injeção de comandos, e permitia que um atacante remoto e autenticado execute código arbitrário no sistema operativo e com privilégios de administrador.
Solução
Atualizar para a versão 14.0.5
Mais informações no advisory oficial da Cisco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-filewrite-87Q5YRk
Komentar