Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04295

Опубликовано: 05 июл. 2023
Источник: fstec
CVSS3: 6
CVSS2: 5.9
EPSS Низкий

Описание

Уязвимость программного обеспечения серверов Cisco BroadWorks существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня root

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco BroadWorks Application Delivery Platform
BroadWorks Database Troubleshooting Server
BroadWorks Media Server
BroadWorks Service Control Function Server
Cisco BroadWorks Network Server
BroadWorks Profile Server
BroadWorks Xtended Services Platform
BroadWorks Database Server
BroadWorks Execution Server
BroadWorks Network Database Server
BroadWorks Network Function Manager
BroadWorks Application Server

Версия ПО

до Rel_2023.05_1.290 (Cisco BroadWorks Application Delivery Platform)
до Rel_2023.05_1.290 (BroadWorks Database Troubleshooting Server)
до Rel_2023.05_1.290 (BroadWorks Media Server)
до Rel_2023.05_1.290 (BroadWorks Service Control Function Server)
до Rel_2023.05_1.290 (Cisco BroadWorks Network Server)
до Rel_2023.05_1.290 (BroadWorks Profile Server)
до Rel_2023.05_1.290 (BroadWorks Xtended Services Platform)
до Rel_2023.05_1.290 (BroadWorks Database Server)
до Rel_2023.05_1.290 (BroadWorks Execution Server)
до Rel_2023.05_1.290 (BroadWorks Network Database Server)
до Rel_2023.05_1.290 (BroadWorks Network Function Manager)
от 23.0 до AP.platform.23.0.1075.ap385266 (BroadWorks Application Server)
от 24.0 до AP.platform.23.0.1075.ap385266 (BroadWorks Application Server)
до Rel_2023.05_1.290 (BroadWorks Application Server)
от 23.0 до AP.platform.23.0.1075.ap385266 (Cisco BroadWorks Network Server)
от 23.0 до AP.platform.23.0.1075.ap385266 (BroadWorks Profile Server)
до 22.0 включительно (BroadWorks Profile Server)
от 23.0 до AP.platform.23.0.1075.ap385266 (BroadWorks Xtended Services Platform)
до 22.0 включительно (BroadWorks Xtended Services Platform)

Тип ПО

Прикладное ПО информационных систем
Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Использование рекомендаций:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bw-privesc-yw4ekrXW
Следующие продукты достигли точки окончания обслуживания программного обеспечения в процессе окончания срока службы: BroadWorks Messaging Server, BroadWorks Sharing Server, BroadWorks Video Server, BroadWorks WebRTC Server. Cisco не выпускала и не будет выпускать обновления программного обеспечения для устранения этой уязвимости для этих продуктов.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 5%
0.00021
Низкий

6 Medium

CVSS3

5.9 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-20210

CVSS3: 6
nvd
больше 2 лет назад

A vulnerability in Cisco BroadWorks could allow an authenticated, local attacker to elevate privileges to the root user on an affected device. The vulnerability is due to insufficient input validation by the operating system CLI. An attacker could exploit this vulnerability by issuing a crafted command to the affected system. A successful exploit could allow the attacker to execute commands as the root user. To exploit this vulnerability, an attacker must have valid BroadWorks administrative privileges on the affected device.

github логотип

GHSA-4hhj-h38j-ccw8

CVSS3: 6
github
больше 2 лет назад

A vulnerability in Cisco BroadWorks could allow an authenticated, local attacker to elevate privileges to the root user on an affected device. The vulnerability is due to insufficient input validation by the operating system CLI. An attacker could exploit this vulnerability by issuing a crafted command to the affected system. A successful exploit could allow the attacker to execute commands as the root user. To exploit this vulnerability, an attacker must have valid BroadWorks administrative privileges on the affected device.

EPSS

Процентиль: 5%
0.00021
Низкий

6 Medium

CVSS3

5.9 Medium

CVSS2