Cisco исправила три уязвимости в TelePresence, RoomOS и Umbrella VA

Специалисты компании Cisco выпустили обновления для устранения трех опасных уязвимостей в своих продуктах. Их эксплуатация позволяет вызвать состояние отказа в обслуживании (DoS) и перехватить контроль над уязвимыми системами.

Первая из трех уязвимостей (CVE-2022-20783) получила оценку в 7,5 балла по шкале CVSS и затрагивает ПО Cisco TelePresence Collaboration Endpoint и ПО Cisco RoomOS. Проблема связана с отсутствием надлежащей проверки входных данных, что позволяет удаленному неавторизованному злоумышленнику отправлять специально сформированный трафик на устройства. Проблема устранена в версиях ПО Cisco TelePresence CE 9.15.10.8 и 10.11.2.2.

Вторая уязвимость CVE-2022-20773 (оценку в 7,5 балла по шкале CVSS) связана со статическим SSH-ключом в виртуальном устройстве Cisco Umbrella (VA) с версией программного обеспечения старше 3.3.2. Проблема потенциально позволяет злоумышленнику выполнить MitM-атаку на SSH-соединение и получить учетные данные администратора.

Третья уязвимость связана с повышением привилегий в Cisco Virtualized Infrastructure Manager (CVE-2022-20732) и получила оценку в 7,8 балла по шкале CVSS. Проблема позволяет локальному авторизованному злоумышленнику повышать привилегии на устройствах. Уязвимость была исправлена в версии программного обеспечения 4.2.2.