ក្រុមហ៊ុនបច្ចេកវិទ្យា Cisco បានបញ្ចេញបច្ចុប្បន្នភាពរបស់កម្មវិធី ដើម្បីដោះស្រាយបញ្ហាកំហុសសុវត្ថិភាពសំខាន់ដែលប៉ះពាល់ដល់ Unity Connection អាចអនុញ្ញាតឱ្យហេគឃ័រប្រតិបត្តិ Commands បញ្ជាតាមចិត្តនៅលើប្រព័ន្ធដែលភ្ជាប់ទៅកាន់ Websites (Underlying System)។
ភាពងាយរងគ្រោះ CVE-2024-20272 (CVSS score: 7.3) ជាបញ្ហា File Upload តាមចិត្តដែលមាននៅក្នុង Web-Based Management Interface និងបណ្តាលឱ្យខ្វះការផ្ទៀងផ្ទាត់នៅក្នុង API ជាក់លាក់ ព្រមទាំងសុពលភាព (Validation) មិនត្រឹមត្រូវនៃទិន្នន័យដែលផ្តល់ដោយអ្នកប្រើប្រាស់។ ក្រុមហ៊ុនបានថ្លែងថា ហេគឃ័រអាចកេងចំណេញលើភាពងាយរងគ្រោះនេះ ដោយការ Upload Files តាមចិត្តនៅលើប្រព័ន្ធដែលរងគ្រោះ។ ការកេងចំណេញដោយជោគជ័យអាចបើកឱ្យហេគឃ័ររក្សាទុក Files អាក្រក់នៅលើប្រព័ន្ធ ការធ្វើប្រតិបត្តិពាក្យបញ្ជាតាមចិត្តនៅលើប្រព័ន្ធដំណើរការ និងបង្កើនសិទ្ធិជា Root ផងដែរ។
បញ្ហាប៉ះពាល់ដល់ជំនាន់ Cisco Unity Connection លើកលែងជំនាន់ទី 15
– ជំនាន់ 12.5 និងមុននេះ (បាន Fix នៅក្នុងជំនាន់ 12.5.1.19017-4)
– ជំនាន់ 14 (បាន Fix នៅក្នុងជំនាន់ 14.0.1.14006-5)
អ្នកស្រាវជ្រាវសុវត្ថិភាព Maxim Suslov បានរកឃើញ និងបានរាយការណ៍អំពីបញ្ហានេះ។ ហើយក្រុមហ៊ុន Cisco មិនបានលើកឡើងថាបញ្ហានេះត្រូវបានកេងចំណេញនោះទេ ប៉ុន្តែក្រុមហ៊ុនផ្តល់យោបល់ឱ្យអ្នកប្រើប្រាស់អាប់ដេតទៅកាន់ Fixed Version ដើម្បីកាត់បន្ថយការគំរាមកំហែង។
នៅក្នុងនោះមាន Patch សម្រាប់បញ្ហា CVE-2024-20272 ដែលក្រុមហ៊ុន Cisco ក៏បានដាក់ចេញនូវបច្ចុប្បន្នភាពដើម្បីដោះស្រាយបញ្ហាភាពងាយរងគ្រោះ 11 Medium-Severity ដែលរីករាលដាលនៅក្នុងកម្មវិធីរបស់ខ្លួនរួមមាន Identity Services Engine, WAP371 Wireless Access Point, ThousandEyes Enterprise Agent, និង TelePresence Management Suite (TMS)។ ទោះបីជាយ៉ាងណា ក្រុមហ៊ុនក៏បានកត់សម្គាល់ថា ក្រុមហ៊ុនមិនមានបំណងនឹងបញ្ចេញ Fix សម្រាប់ដោះស្រាយបញ្ហានៅក្នុង WAP371 (CVE-2024-20287, CVSS score: 6.5) នោះទេ ដោយលើកឡើងថា ឧបករណ៍គ៏ត្រូវបានដល់ពេលផុតកំណត់នៃការប្រើប្រាស់ហើយ (End-of-Life (EoL)) កាលពីខែមិថុនា ឆ្នាំ២០១៩។ ក្រុមហ៊ុនបានណែនាំអតិថិជនឱ្យប្តូរទៅប្រើ Cisco Business 240AC Access Point ជំនួសវិញ៕
https://thehackernews.com/2024/01/cisco-fixes-high-risk-vulnerability.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១១ ខែមករា ឆ្នាំ២០២៤
