聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
CVE-2024-20375是一个高危漏洞(CVSS评分8.6),影响思科 Unified Communications Manager (Unified CM) 和思科 Unified Communications Manager Session Management Edition (Unified CM SME) 的SIP调用处理功能,可遭未认证远程利用。
SIP 信息解析不当可导致攻击者将构造的数据包发送给受影响产品并导致设备重新加载,进而导致拒绝服务条件。思科指出,目前虽然该漏洞已存在应变措施,但 Unified CM 和 Unified CM SME版本12.5 (1)SU9、14SU4和15SU1已包含补丁。
思科致谢美国国安局 (NSA) 报送CVE-2024-20375并提到并未发现该漏洞遭在野利用的证据。
本周三,思科还修复了另外一个漏洞CVE-2024-6387,即OpenSSH 漏洞regreSSHion,并提供了修复方案。此外,思科还发布四份安全通告,详述了位于 Identity Service Engine (ISE)、Unified CM 和 Unifeid CM SME中的多个中危漏洞。其中三个位于思科ISE中:通过REST API调用的SQL盲注漏洞、信息泄露漏洞以及跨站请求伪造漏洞。第四个漏洞影响 Unified CM和Unified CM SME 基于web 的管理接口,并可导致远程未认证攻击者执行跨站点脚本攻击,并在接口上下文中执行任意脚本代码。
思科表示并未发现这些漏洞遭在野利用的迹象。可参见思科安全通告页面获取更多信息。
https://www.securityweek.com/cisco-patches-high-severity-vulnerability-reported-by-nsa/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~