Cisco ประกาศออกแพตช์อุดช่องโหว่ความรุนแรงระดับ High 2 รายการบนแพลตฟอร์ม Collaboration ยอดนิยมอย่าง Webex และผลิตภัณฑ์ที่ใช้ระบบปฏิบัติการ IOS และ IOS XE ซึ่งอาจช่วยให้แฮ็กเกอร์ลอบรันโค้ดแปลกปลอมจากระยะไกลได้ ดังนี้

CVE-2019-16005 – ช่องโหว่ Command Injection บน Web-based Management Interface ของ Cisco Webex Video Mesh ซึ่งมีสาเหตุมาจากการตรวจสอบ Input จากผู้ใช้ไม่ดีเพียงพอ ส่งผลให้แฮ็กเกอร์สามารถล็อกอินด้วยสิทธิ์ Admin และสั่งรันโค้ดแปลกปลอมบนระบบจากระยะไกลได้ ช่องโหว่นี้ส่งผลกระทบบน Cisco Webex Video Mesh เวอร์ชันก่อนหน้า 2019.09.19.1956m
รายละเอียดเกี่ยวกับช่องโหว่: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-webex-video
CVE-2019-16009 – ช่องโหว่ Cross-site Request Forgery (CSRF) บน Web UI ของซอฟต์แวร์ IOS และ IOS XE ซึ่งช่วยให้แฮ็กเกอร์ลอบโจมตีจากระยะไกลโดยไม่ต้องพิสูจน์ตัวตนผ่านทางการส่ง Malicious Link ไปให้เหยื่อเพื่อดำเนินการแทน ถ้าเหยื่อมีสิทธิ์สูงอาจช่วยให้แฮ็กเกอร์ลอบเปลี่ยนการตั้งค่า รันคำสั่ง หรือรีสตาร์ทอุปกรณ์ได้ ช่องโหว่นี้ส่งผลกระทบบน IOS และ IOS XE เวอร์ชันก่อนหน้า 16.1.1 และเปิดใช้ฟีเจอร์ HTTP Server
รายละเอียดเกี่ยวกับช่องโหว่: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-ios-csrf
แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว