Cisco อัพเกรด 3 ช่องโหว่ที่เกี่ยวข้องกับ remote code execution (RCE) ส่งผลกระทบกับ web management interfaces ความรุนแรงระดับ Critical ตามที่ Cisco เผยแพร่ล่าสุดวันที่ 15 พฤษภาคมและอัปเดตวันที่ 16 พฤษภาคมที่ผ่านมา พบช่องโหว่ CVE-2019-1821 ซึ่งผู้โจมตีสามารถอาศัยช่องโหว่ดังกล่าวเพื่อเข้าถึง admin interface ได้ทันทีโดยไม่ต้องระบุตัวตน ส่วนช่องโหว่ CVE-2019-1822 และ CVE-2019-1823 ยังต้องการ credentials ของผู้ดูแลระบบที่บันทึกไว้เพื่อเข้าถึง admin interface ช่องโหว่ทั้งสามนี้มีผลต่อซอฟต์แวร์เวอร์ชันต่อไปนี้: Cisco PI Software รุ่นก่อนหน้า 3.4.1, 3.5 และ 3.6 และ EPN Manager รุ่นก่อนหน้า 3.0.1
นอกจากนี้ยังพบช่องโหว่ SQL injection ระดับความรุนแรงสูง CVE-2019-1824 และ CVE-2019-1825 ซึ่ง อนุญาตให้ผู้โจมตีจากระยะไกล ผลิตภัณฑ์ที่อาจถูกโจมตีจากผู้โจมตีโดยการใช้ประโยชน์จากปัญหาซอฟต์แวร์ทั้งสองนี้คือ Cisco PI Software รุ่นก่อนหน้า 3.4.1, 3.5 และ 3.6 และ EPN Manager รุ่นก่อนหน้า 3.0.1
ที่มา : bleepingcomputer
You must be logged in to post a comment.