Cisco и Fortinet исправили критические уязвимости в нескольких продуктах

Чт 7 Июль 2022 14:04

6 июля Cisco выпустила исправления для 10 уязвимостей , в нескольких продуктах. Один критический недостаток может быть использован для проведения атаки с обходом пути.

Уязвимости CVE-2022-20812 и CVE-2022-20813 затронули серию Cisco Expressway и сервер видеосвязи Cisco TelePresence VCS и «могут позволить удаленному злоумышленнику перезаписать произвольные файлы или провести атаку с использованием нулевого байта (Null byte poisoning attack) на уязвимое устройство», — говорится в сообщении компании.

CVE-2022-20812 с оценкой CVSS 9,0 связана с произвольной перезаписью файла в API базы данных кластера. Удаленный авторизованный злоумышленник с правами администратора может провести атаку с обходом пути от имени root-пользователя. Успешное использование уязвимости может позволить хакеру перезаписать произвольные файлы в операционной системе. «Недостаток связан с недостаточной проверкой введенных пользователем аргументов команды», — заявили в компании.

CVE-2022-20813 с оценкой CVSS 7,4 является уязвимостью нулевого байта, возникающая из-за неправильной проверки сертификата, которая может быть использована киберпреступником для совершения MitM-атаки (man-in-the-middle) и получения несанкционированного доступа к конфиденциальным данным.

Cisco также исправила опасную уязвимость в программном менеджере Smart Software Manager On-Prem ( CVE-2022-20808 , оценка CVSS: 7,7), которая могла позволить авторизованному киберпреступнику выполнить DoS-атаку на пораженное устройство.

Кроме того, Fortinet устранила 4 опасных уязвимости, затрагивающие FortiAnalyzer, FortiClient, FortiDeceptor и FortiNAC.

Недостатки могут позволить авторизованному злоумышленнику:

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 261 день 15 часов 3 минуты 46 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.