Home Ciência e Tecnologia Cisco: Código de contrabando vazado no Unity Connection e outras falhas

Cisco: Código de contrabando vazado no Unity Connection e outras falhas

By
Clodoaldo Ribeiro
-
7
0
fechar notícias

Este artigo também está disponível em inglês. Foi traduzido com assistência técnica e revisado editorialmente antes da publicação.

.

A fabricante de equipamentos de rede Cisco emitiu oito avisos de segurança, alguns dos quais abordam vulnerabilidades de alto risco em alguns de seus produtos. O mais sério parece ser uma falha de segurança no Cisco Unity Connection, que permite a injeção e execução de códigos maliciosos.

Leia mais depois do anúncio

Existem duas vulnerabilidades no Cisco Unity Connection. Mais seriamente, permite que invasores autenticados na rede injetem e executem código malicioso usando solicitações de API manipuladas para a interface de gerenciamento baseada na web. A segunda vulnerabilidade, no entanto, afeta a interface de usuário da Web do Unity Connection Web Inbox e permite que atores não autenticados da rede executem ataques de falsificação de solicitação do lado do servidor (SSRF).

Os switches gerenciados das séries SG350 e SG350X têm uma vulnerabilidade de negação de serviço que pode permitir que um invasor faça login com uma solicitação SNMP criada. Atores mal-intencionados não registrados da rede podem danificar o Cisco Crosswork Network Controller (CNC) e o Network Services Orchestrator (NSO) enviando um grande número de solicitações de conexão porque sua implementação não atende ao mecanismo de limitação de taxa para conexões de rede. Múltiplas vulnerabilidades no IoT Field Network Director da Cisco também permitem que invasores façam login na rede para executar comandos, acessar arquivos e realizar ataques de negação de serviço em roteadores gerenciados.

Resumo das vulnerabilidades corrigidas

As vulnerabilidades de segurança são detalhadas em ordem de gravidade:

  • Vulnerabilidades de execução remota de código e falsificação de solicitação no servidor do Cisco Unity Connection (CVE-2026-20034, CVSS) 8.8;CVE-2026-20035, CVSS 7.2; dois riscos”esse“)
  • Vulnerabilidade de negação de serviço SNMP do switch gerenciado Cisco SG350 e SG350X Series (CVE-2026-20185, CVSS 7.7risco”esse“)
  • Vulnerabilidade de negação de serviço por exaustão de conexão do Cisco Crosswork Network Controller e Cisco Network Services Orchestrator (CVE-2026-20188, CVSS 7,5risco”esse“)
  • Vulnerabilidade do Cisco IoT Field Network Director (CVE-2026-20167, CVSS 7.7risco”esse“; CVE-2026-20168, CVSS 6,5risco”médio“; CVE-2026-20169, CVSS 6.4risco”médio“)
  • Vulnerabilidade de referência de objeto direto inseguro do Cisco Slido (CVE-2026-20219, CVSS 5.4risco”médio“)
  • Vulnerabilidades de desvio de autenticação do Cisco Identity Services Engine (CVE-2026-20195, CVSS 5.4; CVE-2026-20193, CVSS 4.3; dois riscos”médio“)
  • Vulnerabilidade de divulgação de informações da infraestrutura principal da Cisco (CVE-2026-20189, CVSS 4.3risco”médio“)
  • Vulnerabilidade do agente de upload de arquivos Cisco Enterprise Chat e Email Lite (CVE-2026-20172, CVSS 4.3risco”médio“)

A Cisco eliminou recentemente várias lacunas de segurança em vários produtos em meados de abril. Os desenvolvedores fecharam dez vazamentos de segurança, por exemplo, no Cisco Identity Services Engine e no Webex.

Leia mais depois do anúncio


(dmk)

Fonte

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here