Risolta vulnerabilità in Cisco Finesse (AL04/240607/CSIRT-ITA) – Aggiornamento

Sintesi

Aggiornamenti di sicurezza Cisco sanano 2 vulnerabilità, di cui una con gravità “alta”, presenti nel prodotto Finesse.

Note (aggiornamento del 21/06/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2024-20404 risulta disponibile in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (67,94/100)¹.  (aggiornato al 21/06/2024)

Tipologia

• Security Restrictions Bypass

Prodotti e/o versioni affette

Cisco Finesse, versioni:

• 11.6(1) ES11 e precedenti
• 12.6(2) ES01 e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nei bollettini di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2024-20404

Riferimenti

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-finesse-ssrf-rfi-Um7wT8Ew

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.