Cisco’un İş Süreci Otomasyonu yazılımı BPA’da zafiyet keşfedildi. Güvenlik açığı saldırganların kimlik doğrulaması yapmadan sistemlere erişebilmesine, tam yetki alabilmesine ve hassas verilere ulaşabilmese izin veriyor.
- İlk zafiyetin kodları olan CVE-2021-1574 ve CVE-2021-1576BPA, BPA’ın ara yüzünde bulunuyor. Zafiyet 10 üzerinde 8.8 almış ve uzaktan sistem üzerinde tam kontrol almasına neden oluyor.
- CVE-2021-1574 – Kullanıcı bilgilerine sahip saldırgan, kod yürütebiliyor.
- CVE-2021-1576 – Saldırgan hassas verilere erişebiliyor.
Güvenlik açıkları, Sürüm 3.1’den önceki Cisco BPA sürümlerini etkiliyor.
Güncellemelere buradan ulaşabilirsiniz.
CVE-2021-1359 – Bu zafiyet Cisco Web Security Appliance ürünün işletim sistemi olan AsyncOS’da bulunuyor. Saldırgan kod enejsiyon tekniği ile root yetkisine kadar yükselebiliyor.
Güncellemelere buradan ulaşabilirsiniz.
Diğer zafiyetler ise Small Business 220 Serisi switchlerde bulunuyor. Zafiyet içeren ürünlerin zaman kaybetmeden güncellenmesi gerekiyor.
Kaynak: threatpost.com