Cisco ha rilasciato aggiornamenti di sicurezza per affrontare una serie di vulnerabilità nei suoi prodotti BroadWorks e nella serie di telefoni IP SPA500. Le vulnerabilità potrebbero permettere ad un attaccante di eseguire attacchi XSS o di modificare una pagina web nel contesto del browser di un utente.”
Vulnerabilità e Aggiornamenti di Cisco BroadWorks
Cisco ha rilasciato aggiornamenti per affrontare una vulnerabilità di escalation di privilegi in BroadWorks. Gli utenti sono invitati a migrare a una versione fissa del software. Alcuni prodotti BroadWorks, tra cui il Messaging Server, il Sharing Server, il Video Server e il WebRTC Server, hanno raggiunto il punto di fine del mantenimento del software nel processo di fine vita e Cisco non rilascerà aggiornamenti del software per affrontare questa vulnerabilità per questi prodotti.
Vulnerabilità e Aggiornamenti della Serie di Telefoni IP Cisco SPA500
Cisco ha rilasciato aggiornamenti per affrontare due vulnerabilità nella serie di telefoni IP SPA500. La prima vulnerabilità, identificata come CVE-2023-20181, potrebbe permettere ad un attaccante non autenticato e remoto di condurre attacchi XSS. La seconda vulnerabilità, identificata come CVE-2023-20218, potrebbe permettere ad un attaccante non autenticato e remoto di modificare una pagina web nel contesto del browser di un utente. Non esistono soluzioni alternative che affrontino queste vulnerabilità.
Cisco consiglia ai clienti di assicurarsi che i dispositivi da aggiornare contengano sufficiente memoria e di confermare che le attuali configurazioni hardware e software continueranno ad essere supportate correttamente dalla nuova versione. Se le informazioni non sono chiare, i clienti sono invitati a contattare il Cisco Technical Assistance Center (TAC) o i loro fornitori di manutenzione contrattuali.