Три неисправленные бреши затрагивают несколько ключевых продуктов компании.
Компания Cisco выпустила несколько бюллетеней безопасности с описанием ряда уязвимостей в некоторых продуктах. Неисправленные бреши затрагивают продукты Cisco Unified Computing System, Cisco Unity Connection и Cisco Unified SIP Phone 3905.
Бюллетень Cisco-SA-20151201-UCS1 описывает уязвимость в платформе для дата-центров Cisco Unified Computing System (UCS), позволяющую удаленному пользователю осуществить CSRF-атаку. Бреши подвержена версии UCS 1.3 и 1.3.0.1. Уязвимость существует из-за недостаточной проверки подлинности HTTP-запросов. Злоумышленник может с помощью специально сформированной страницы выполнить некоторые действия от имени пользователя.
Бюллетень Cisco-SA-20151202-PCA описывает брешь в программе по обмену сообщениями и голосовой почтой Cisco Unity Connection версии 9.1. Уязвимость существует из-за некорректной проверки пользовательских данных. Удаленный пользователь может с помощью специально сформированной ссылки выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
В бюллетене Cisco-SA-20151202-SIP описывается уязвимость в SIP-телефоне Cisco SIP Phone 3905. Брешь существует из-за ресурсных ограничений устройства и позволяет удаленному пользователю осуществить DoS-атаку путем отправки большого объема трафика на целевой аппарат.
Вместе с тем компания исправила уязвимость повышения привилегий в Cisco WebEx Meetings for Android. Брешь позволяет злоумышленнику повысить привилегии на системе с помощью предустановленного вредоносного приложения. Уязвимость затрагивает Cisco WebEx Meetings for Android 8.5.1 и более ранние версии приложения.
Одно найти легче, чем другое. Спойлер: это не темная материя