Cisco, Cisco Small Business 220 serisi ürünleri için güncelleme yayınladı. Zafiyetlere baktığımızda, RCE’den html injection’a kadar çok ciddi zafiyetleri barındırğı görülmekte.
Bunun yanında AnyConnect, Jabber, Meeting Server, Unified Intelligence Center ve Webex’de çeşitli zafiyetler bulunmakta.
Önem derecesi yüksek zafiyetler ise şöyle:
- CVE-2021-1566: Cisco Email Security Appliance ve Cisco Web Security Appliance’da Certificate-Validation Vulnerability ( Sertifika Doğrulama Zafiyeti )
- CVE-2021-1134: Cisco DNA Center’da Certificate-Validation Vulnerability (Sertifika Doğrulama Güvenlik Açığı)
- CVE-2021-1541-1543; CVE-2021-1571: Cisco Small Business 220 Serisi’inde Session Hijacking, Arbitrary Code-Execution, Cross-Site Scripting, HTML Injection (Oturum Ele Geçirme , Rastgele Kod Yürütme, Siteler Arası Komut Dosyası Oluşturma , HTML Enjeksiyonu)
- CVE-2021-1567: Windows için Cisco AnyConnect Secure Mobility Client with VPN Posture (HostScan) Module (DLL Hijacking)
- CVE-2021-1542: En ciddi zafiyetlerden birisi olarak puanlanmış durumda 10 üzerinden 7.5 almış durumda.
Hijack a user session
Execute arbitrary commands as a root user on the underlying operating system
Conduct a cross-site scripting (XSS) attack
Conduct an HTML injection attack
Önem derecesi yorta zafiyetler ise şöyle:
- CVE-2021-1524: Cisco Meeting Server API (Denial of Service Vulnerability
- CVE-2021-1569 and CVE-2021-1570: Cisco Jabber Desktop and Mobile Client Software Vulnerabilities
- CVE-2021-1395: Cisco Unified Intelligence Center (Reflected XSS)
- CVE-2021-1568: Cisco AnyConnect Secure Mobility Client for Windows (DoS)
- CVE-2021-1242: Cisco Jabber and Webex Client Software (Shared File Manipulation)
Yukardaki ürünleri kullanan kullanıcıların zaman kaybetmeden güncellemelerin yapılması büyük önem taşıyor.
Kaynak: threatpost.com
