Sårbarheter i Cisco Security Manager varav en kritisk

Sårbarhet

Cisco har publicerat säkerhetsuppdateringar gällande sårbarheter i Cisco Security Manager, varav en kritisk.Sårbarheten CVE-2020-27130, som har fått CVSS-klassningen 9,1, kan göra det möjligt att komma åt känslig information över en fjärranslutning utan autentisering. Sårbarheten beror på bristfällig hantering av teckensekvenser i begäranden som tas emot av påverkade enheter, vilket kan möjliggöra förflyttningar i katalogstrukturen. [1,3]Även sårbarheten CVE-2020-27125, som har fått CVSS-klassningen 7,4, kan göra det möjligt att komma åt känslig information över en fjärranslutning utan autentisering. Sårbarheten beror på bristfälligt skydd av statiska inloggningsuppgifter i källkoden. [2,3]

Påverkade produkter

Cisco Security Manager version 4.21 och tidigare

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter.

Källor

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR [2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-rce-8gjUz9fW [3] https://www.zdnet.com/article/cisco-reveals-this-critical-bug-in-cisco-security-manager-after-exploits-are-posted-patch-now/