១. ព័ត៌មានទូទៅ
ក្រុមហ៊ុន Cisco បានចេញផ្សាយការជួសជុលទៅលើចំនុចខ្សោយមួយចំនួនដែលមាននៅក្នុងផលិតផល Cisco Prime Infrastructure (PI) និង Evolved Programmable Network (EPN) Manager ដែលគឺជាកម្មវិធីត្រូវបានប្រើប្រាស់ដើម្បីធ្វើការគ្រប់គ្រងទៅលើ wireless និង wired network infrastructure និង Ciso Webex ។
ចំនុចខ្សោយទាំងនោះ រួមមានដូចខាងក្រោម៖
CVE-2018-0222, CVE-2018-0268 និង CVE-2018-0271
Cisco PI and EPN ត្រូវបានជួសជុលទៅលើកំហុសឆ្គងមួយចំនួនដែលមានពិន្ទុខ្ពស់បំផុតនៃ Common Vulnerability Score System (CVSS) severity គឺ ១០/១០។ អ្នកវាយប្រហារអាចវាយលុកទៅលើចំនុខ្សោយទាំងនោះដោយការបញ្ជូន (upload) នូវឯកសារមានមេរោគទៅកាន់ administrative web interface។ ការវាយលុកដោយជោគជ័យនឹងអាចឱ្យអ្នកវាយប្រហារធ្វើការដំណើរការកូដជាមួយនឹងសិទ្ធិពេញលេញ (កម្រិតជា root-level) តែម្តង។
CVE-2019-1771, CVE-2019-1772 និង CVE-2019-1773
Cisco Webex Network Recording Player និង Cisco Webex Player សម្រាប់ Microsoft Windows ត្រូវបានជួសជុលកំហុសឆ្គងជាច្រើន។ អ្នកវាយប្រហារអាចវាយលុកទៅលើចំនុចខ្សោយទាំងនោះដោយការបញ្ជូនទៅឱ្យអ្នកប្រើប្រាស់នូវឯកសារ (file) Advanced Recording Format (ARF) ឬ WebEx Recording Format (WRF) ដើម្បីបញ្ឆោតអ្នកប្រើឱ្យចុចបើកឯកសារទាំងនោះ ដែលនឹងអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការដំណើការកូដមេរោគពីចំងាយនៅលើប្រព័ន្ធនោះ។ លេខ CVE ត្រូវបានវាយតម្លៃថាមានកម្រិតខ្ពស់ព្រោះវាតម្រូវឱ្យមានអន្តរកម្ម (interaction) ពីអ្នកប្រើ។
២. ផលិតផលដែលរងផលប៉ៈពាល់
- Cisco Prime Infrastructure before 3.4.1, 3.5, and 3.6
- Evolved Programmable Network Manager before 3.0.1
- Cisco Webex Business Suite sites — All Webex Network Recording Player and Webex Player versions before Version WBS39.2.205
- Cisco Webex Meetings Online — All Webex Network Recording Player and Webex Player versions before Version 1.3.42
- Cisco Webex Meetings Server — All Webex Network Recording Player versions before Version 2.8MR3 SecurityPatch2, 3.0MR2 SecurityPatch2 or 4.0
៣. ផលវិបាក
ការវាយលុកដោយជោគជ័យទៅលើកំហុសឆ្គងទាំងនោះនឹងអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការគ្រប់គ្រងពេញលេញទាំងស្រុងទៅលើប្រព័ន្ធរបស់អ្នកប្រើប្រាស់ ហើយដំណើរការសកម្មភាពផ្សេងៗ ដូចជាការតំឡើង ឬកែប្រែកម្មវិធីកុំព្យូទ័រ ការបើកមើល ផ្លាស់ប្តូរ ឬលប់ទិន្នន័យ ឬក៏ការបង្កើតគណនីថ្មីនៅលើប្រព័ន្ធជាមួយនឹងពេញលេញជាដើម។
៤. សម្រាប់ព័ត៌មានបន្ថែម
អ្នកប្រើប្រាស់ និងអភិបាលគ្រប់គ្រងត្រូវបានណែនាំឱ្យធ្វើការដោតឡូត (download) និងតំឡើងនូវការអាប់ដេតសន្តិសុខជាបន្ទាន់។
សម្រាប់ព័ត៌មានបន្ថែម សូមចូលទៅកាន់វេបសាយដូចខាងក្រោម៖
