Cisco раскрыла 0-day в инструменте управления серверами Prime Collaboration Deployment (PCD), которую можно использовать для атак с использованием межсайтовых сценариев.
Утилита предназначена для выполнения задач миграции или обновлений на серверах, находящихся в контуре организации.
CVE-2023-20060 была обнаружена в веб-интерфейсе управления Cisco PCD 14 (включая и более ранние версии) исследователем Пьером Вивеньсом из Центра кибербезопасности НАТО (NCSC).
Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, запускать XSS-атаки удаленно, но требует взаимодействия с пользователем.
Рабочий эксплойт может позволить злоумышленнику выполнить произвольный код сценария в контексте уязвимого интерфейса или получить доступ к конфиденциальной информации в браузере.
Проблема вызвана неправильной проверкой веб-интерфейсом управления введенных пользователем данных.
Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя интерфейса щелкнуть созданную ссылку.
На данный момент для XSS-уязвимости нет обходных путей, а обновления безопасности для ее устранения компания обещает выпустить в следующем месяце.
Но в случае с Cisco «обещать - не значит жениться», уже полгода поставщик с таким же успехом обещает исправить другую 0-day.
CVE-2022-20968 в IP-телефонах с прошивкой серий 7800 и 8800 версии 14.2 была раскрыта еще начале декабря 2022 года и успела обзавестись PoC, хотя должна была быть закрыта еще в январе.
Пока же клиентов Cisco (PSIRT) утешают лишь заявлениями об отсутствии доказательства злонамеренного использования новой 0-day в дикой природе.
Утилита предназначена для выполнения задач миграции или обновлений на серверах, находящихся в контуре организации.
CVE-2023-20060 была обнаружена в веб-интерфейсе управления Cisco PCD 14 (включая и более ранние версии) исследователем Пьером Вивеньсом из Центра кибербезопасности НАТО (NCSC).
Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, запускать XSS-атаки удаленно, но требует взаимодействия с пользователем.
Рабочий эксплойт может позволить злоумышленнику выполнить произвольный код сценария в контексте уязвимого интерфейса или получить доступ к конфиденциальной информации в браузере.
Проблема вызвана неправильной проверкой веб-интерфейсом управления введенных пользователем данных.
Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя интерфейса щелкнуть созданную ссылку.
На данный момент для XSS-уязвимости нет обходных путей, а обновления безопасности для ее устранения компания обещает выпустить в следующем месяце.
Но в случае с Cisco «обещать - не значит жениться», уже полгода поставщик с таким же успехом обещает исправить другую 0-day.
CVE-2022-20968 в IP-телефонах с прошивкой серий 7800 и 8800 версии 14.2 была раскрыта еще начале декабря 2022 года и успела обзавестись PoC, хотя должна была быть закрыта еще в январе.
Пока же клиентов Cisco (PSIRT) утешают лишь заявлениями об отсутствии доказательства злонамеренного использования новой 0-day в дикой природе.
