云安全日报210712：思科企业级呼叫和协作平台发

Cisco BroadWorks Application是思科（Cisco）公司的一个企业级呼叫和协作平台。7月9日,思科发布了安全公告,思科企业级呼叫和协作平台(Cisco BroadWorks Application)发现信息泄露漏洞,建议尽快升级。以下是漏洞详情

漏洞详情

来源https://tools.cisco./security/center/content/CiscoSecurityAdvisory/cisco-sa-broad-as-inf-disc-ZUXGFFXQ

CVE-2021-1562 CVSS评分:4.3 严重程度中

该漏洞允许经过身份验证的远程攻击者可利用该漏洞访问受影响系统上的敏感信息。此漏洞是由于用户可以在XSI-Actions界面中执行的特定命令的不正确输入验证和授权造成的。攻击者可利用该漏洞可以通过对受影响的设备进行身份验证并发出一组特定的命令来利用这个漏洞。一个成功的攻击可以让攻击者可利用该漏洞加入一个Call Center实例，并拥有他们没有权限访问dis的呼叫.

受影响产品

此漏洞影响了 Cisco BroadWorks Server 24.0,23.0,22.0,21.0及更早版本。

解决方案

思科已发布安全补丁更新

对于Cisco BroadWorks Application Server 21.0及更早版本,暂未发布补丁更新

对于Cisco BroadWorks Application Server 22.0版本,升级至22.0.2020.08版本可修复

对于Cisco BroadWorks Application Server 23.0版本,升级至23.0.2020.08版本可修复

对于Cisco BroadWorks Application Server 24.0版本,升级至24.0.2020.08版本可修复

要从Cisco. 上的软件中心下载固件补丁，请执行以下操作

1.单击浏览全部。

2.选择统一通信 > 云通话 BroadWorks > BroadWorks 应用服务器 [发布]。

3.选择Application Patches，然后选择上表的 Release Number 列中列出的相应版本。

4.选择上表的“补丁文件名”列中列出的相应文件。

查看更多漏洞信息 以及升级请访问官网

https://tools.cisco./security/center/content/CiscoSecurityAdvisory/cisco-sa-fast-Zqr6DD5