Laburpen exekutiboa
Berehalako arreta behar duten bi ahultasun identifikatu dira Ciscoko produktuetan. Lehenengoa, 8.8ko GZEK batekin, Cisco Meeting Management ziurtagirien kudeaketan dago, benetako erasotzaile bati fitxategiak igotzeko eta root moduko komandoak exekutatzeko aukera ematen dio, sistemaren osotasuna arriskuan jarriz. Bigarren urrakortasunak, 7.5eko GZEKarekin, Cisco TelePresence eta RoomOS gailuetan testua errenderizatzeko azpisistemari eragiten dio, autentifikatu gabeko urruneko erasotzaile bati zerbitzua ukatzeko aukera ematen dio (DoS), testu manipulatuaren bidez gailua etengabe berrabiarazten baitu. Bi ahultasun horiek azkar arindu behar dira, tartean dauden sistemak babesteko eta baimendu gabeko etendurak edo sarbideak saihesteko. Dagozkion segurtasun-partxeak presaz aplikatzea gomendatzen da.
Eragindako baliabideak
- Cisco TelePresence Collaboration Endpoint Software (Version 1.0)
- Cisco RoomOS Software (Version 1.0)
- Cisco Meeting Management (Version 3.12 and earlier)
Azterketa teknikoa
- CVE-2026-20098: Cisco Meeting Management-en ziurtagiriak kudeatzeko funtzioan ahultasun bat dago, eta horrek baimendutako erasotzaile urrun bati fitxategi arbitrarioak igotzea, komandoak exekutatzea eta sistema eraginduan root gisa pribilegioak igotzea ahalbidetu diezaioke. Honek sistema kritikoen fitxategien aldaketa eta pribilegio altuekin komandoak exekutatzea ahalbidetu dezake. Ahultasun hau esplotatzeko, erasotzaileak gutxienez bideo operadore rolarekin erabiltzaile baten kredentzial baliotsuak behar ditu.
- CWE-434
- CVSS: 8.8 (altua)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Esplotazioa: Ez da detektatu
- CVE-2026-20119: Cisco TelePresence Collaboration Endpoint eta Cisco RoomOS softwarearen testuaren irudikapen azpiegituran ahultasun bat dago, eta horrek baimendu gabeko erasotzaile urrun bati gailu eraginduan zerbitzuaren ukatzea (DoS) eragiteko aukera ematen dio. Impactua gailuaren berrargitalpenak barne hartzen ditu, zerbitzuaren eten bat eraginez. Ahultasun hau esplotatzeko, erasotzaileak gailuak testu manipulatu bat prozesatzea besterik ez du behar, erabiltzailearen interakzioa eskatzen ez duena.
- CWE-1287
- CVSS: 7.5 (altua)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- Esplotazioa: Ez da detektatu
Arintzea/Konponbidea
Cisco-k bezeroei gomendatzen die ahultasunak arintzeko iragarkietan adierazitako software bertsio finkoei eguneratzea. Cisco TelePresence CE Software eta Cisco RoomOS Software-rako, bertsio finko batera migratu behar da, RoomOS 2025eko urrian edo RoomOS 2025eko abenduan 10 eta aurreko bertsioetarako eskuragarri, eta 11.27.5.0 edo 11.32.3.0 bertsio 11-rako. Cisco Meeting Management-rako, bezeroek 3.12 edo aurreko bertsioa erabiltzen badute, 3.12.1 MR bertsiora eguneratu behar dute. Ahultasun hauetarako ez da alternatiba irtenbiderik eskuragarri.