Cisco Unity Express Arbitrary Command Execution Vulnerability
<취약점>
자바 역직렬화 취약점으로 인증되지 않은 원격 공격자가 임의의 쉘 명령을 root유저의 권한으로 실행 할 수 있음
공격자는 악성 직렬화된 자바 객체를 Java Remote Method Invocation (RMI) 서비스에 보내 공격가능.
<취약원인>
사용자측 제공 컨텐츠의 불안전한 역직렬화
<대응방안>
소프트웨어 업데이트 존재. Cisco Unity Express 9.0.6 혹은 최신버전으로 업데이트
*Cisco Unity Express 8.6에 대한 패치 발표 계획이 없음.
<영향받는 제품>
Cisco Unity Express 9.0.6 미만 버전
<관련 CVE코드>
CVE-2018-15381
CVSS Score : Base 9.8
출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-cue
'Vulnerability' 카테고리의 다른 글
| [2018.11.12] Java(2016년), PHP(2017년), .NET(2017년)에 이어 Ruby도 역직렬화 취약점 발견 (0) | 2019.03.08 |
|---|---|
| [2018.11.08] Cisco Meraki 로컬 상태 페이지 권한 상승 취약점 (CVE-2018-0284) (0) | 2019.03.08 |
| [2018.11.08] Cisco Stealthwatch 관리 콘솔 인증 우회 취약점 (CVE-2018-15394) (0) | 2019.03.08 |
| [2018.11.07] Apache Struts 2년전 취약점관련 경고 (CVE-2016-1000031) (0) | 2019.03.08 |
| [2018.11.06] Intel CPU PortSmash (CVE-2018-5407) (0) | 2019.03.08 |