思科修复由NSA报送的两个高危漏洞

发布于 作者:

思科修复由NSA报送的两个高危漏洞

Ionut Arghire 代码卫士 2024-08-23 18:19

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周三,思科修复了多款产品中的多个漏洞,其中一个是位于企业协作解决方案中的高危漏洞CVE-2024-20375。

CVE-2024-20375是一个高危漏洞(CVSS评分8.6),影响思科 Unified Communications Manager (Unified CM) 和思科 Unified Communications Manager Session Management Edition (Unified CM SME) 的SIP调用处理功能,可遭未认证远程利用。

SIP 信息解析不当可导致攻击者将构造的数据包发送给受影响产品并导致设备重新加载,进而导致拒绝服务条件。思科指出,目前虽然该漏洞已存在应变措施,但 Unified CM 和 Unified CM SME版本12.5 (1)SU9、14SU4和15SU1已包含补丁。

思科致谢美国国安局 (NSA) 报送CVE-2024-20375并提到并未发现该漏洞遭在野利用的证据。

本周三,思科还修复了另外一个漏洞CVE-2024-6387,即OpenSSH 漏洞regreSSHion,并提供了修复方案。此外,思科还发布四份安全通告,详述了位于 Identity Service Engine (ISE)、Unified CM 和 Unifeid CM SME中的多个中危漏洞。其中三个位于思科ISE中:通过REST API调用的SQL盲注漏洞、信息泄露漏洞以及跨站请求伪造漏洞。第四个漏洞影响 Unified CM和Unified CM SME 基于web 的管理接口,并可导致远程未认证攻击者执行跨站点脚本攻击,并在接口上下文中执行任意脚本代码。

思科表示并未发现这些漏洞遭在野利用的迹象。可参见思科安全通告页面获取更多信息。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

NSA 的开源员工培训平台 SkillTree 中存在CSRF漏洞

1.4GB的NSA机密数据遭泄露

NSA提醒称朝鲜黑客正在利用薄弱的DMARC邮件策略

微软:APT28 利用由NSA报送的 Windows 漏洞

NSA承认购买敏感数据监控美国公民

原文链接

https://www.securityweek.com/cisco-patches-high-severity-vulnerability-reported-by-nsa/

题图:
Pixabay
 License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~