思科BroadWorks Application Delivery Plaftform 和BroadWorks Xtended Services Platform 受一个严重漏洞 （CVE-2023-20238）的影响，可导致远程攻击者伪造凭据并绕过认证。

思科 BroadWorks 是一款适用于企业和消费者的云通信服务平台，而上述提到的两个组件用于 app 管理和集成。该漏洞是由思科安全研究员发现的，CVSS评分为10分。

攻击者可利用该漏洞自由执行命令、访问机密数据、修改用户设置以及提交话费欺诈信息。如以下其中一款应用在上述组件中激活，则这两款组件受影响：

该漏洞除了影响安全公告中提及的两个组件外，不影响其它 BroadWorks 组件，因此用户无需采取任何措施。思科在安全公告中指出，“该漏洞是因为用于验证单点登录令牌的方法导致的。攻击者可通过伪造的凭据在应用上认证，利用该漏洞。”

攻击者利用后获得的能力取决于伪造账户的权限级别，而“管理员”账户是最糟糕的可能场景。然而，利用该漏洞的一个前提条件是拥有与目标思科 BroadWorks 系统相关联的合法用户ID。这一条件可能减少可利用该漏洞的潜在攻击者的数量，但并无法缓解该漏洞，因此风险仍然严峻。

思科并未提供任何缓解措施，因此建议的解决方案是,23.0分支的用户更新至 AP.platform.23.0.1075.ap385341，而发布独立 (RI) 版本的用户更新至2023.06_1.333 或 2023.07_1.332。该漏洞还影响22.0分支用户，但思科将不会为该版本提供安全更新，因此建议老旧版本用户迁移到已修复版本。

目前尚无证据表明该漏洞已遭在野利用，但系统管理员应当尽快应用可用的更新。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~