思科 BroadWorks 平台现“满分级”漏洞
2023-9-8 14:17:18 Author: hackernews.cc(查看原文) 阅读量:19 收藏

据BleepingComputer消息,思科 BroadWorks 应用交付平台和思科 BroadWorks Xtended 服务平台出现了严重漏洞,可能允许远程攻击者伪造凭证并绕过身份验证。屏幕截图 2023-09-08 141449思科 BroadWorks 是面向企业和消费者的云通信服务平台,漏洞由思科安全工程师内部发现,编号为 CVE-2023-20238,CVSS 评分达到了最高级别的10分。

通过利用该漏洞,攻击者可以自由执行命令、访问机密数据、更改用户设置以及进行电话欺诈。受影响的思科应用交付平台和 BroadWorks Xtended 服务平台功能包括认证服务、BW呼叫中心、自定义媒体文件检索、版主客户端应用程序等。

除上述提到的两个组件之外,CVE-2023-20238 不会影响任何其他 BroadWorks 组件,因此其他产品的用户无需采取任何操作。

思科称,攻击者利用该漏洞后所获得的能力取决于伪造帐户的权限级别,“管理员”级别将是最糟糕的情况。然而,利用该缺陷的先决条件之一是拥有与目标 Cisco BroadWorks 系统关联的有效用户 ID。这种情况可能会减少利用 CVE-2023-20238 的攻击者数量,但这并不能缓解问题,因此风险仍然很严重。

思科没有针对此缺陷提供任何解决方法,因此建议的解决方案是针对 23.0 分支版本的用户更新到 AP.platform.23.0.1075.ap385341,针对独立版本的用户更新到版本 2023.06_1.333 或 2023.07_1.332 (RI)版。

CVE-2023-20238 也会影响 22.0 分支的用户,但思科不会发布该版本的安全更新,因此建议旧版本用户的响应是迁移到固定版本。

目前,还没有关于 CVE-2023-20238 被主动利用的报告,但系统管理员应 尽快应用可用的更新。


转自Freebuf,原文链接:https://www.freebuf.com/articles/377490.html

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/45607
如有侵权请联系:admin#unsafe.sh