发布编号：TACERT-ANA-2023020210024444

发布时间：2023-02-02 10:41:00

事故类型：ANA-漏洞预警

发现时间：2023-02-02 09:56:14

影响等级：中

 

[主旨说明:]

【漏洞预警】Cisco 近日发布更新以缓解Unified CM、Unified CM SME的安全性弱点，建议请管理者尽速评估更新！

 

[内容说明:]

 

转发 中华资安国际 CHTSecurity-ANA-202302-0003

Cisco Unified Communications Manager (Unified CM) 和 Cisco Unified Communications Manager 会话管理版 (Unified CM SME) 基于 Web 的管理界面中存在一个弱点，可能允许经过身份验证的远程攻击者对受影响的系统进行 SQL 注入攻击。

此弱点的存在是因为基于 Web 的管理界面无法充分验证用户输入。攻击者可以通过以低特权用户身份向应用程序进行身份验证并将精心设计的 SQL 查询发送到受影响的系统来利用此弱点。成功的利用可能允许攻击者读取或修改底层数据库上的任何数据或提升他们的特权。HiNet SOC 建议管理者尽速评估更新，以降低受骇风险。

 

[影响平台:]

● Cisco Unified CM 和 Unified CM SME realease 11.5(1) (含)之前版本

● Cisco Unified CM 和 Unified CM SME realease 12.5(1)SU7 之前版本

● Cisco Unified CM 和 Unified CM SME realease 14SU3 之前版本

 

[建议措施:]

请参考 Cisco 官方网站的说明和处理建议：

(1) Cisco Unified CM 和 Unified CM SME realease 11.5(1) 之后版本

(2) Cisco Unified CM 和 Unified CM SME realease 12.5(1)SU7 (含)之后版本

(3) Cisco Unified CM 和 Unified CM SME realease 14SU3 (含)之后版本

 

[参考资料:]

Cisco Unified Communications Manager SQL Injection Vulnerability

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw