自己報告されたバージョンによると、Cisco Expressway-C および Cisco TelePresence VCS デバイスは、認証されていないリモートの攻撃者が機密データへの不正アクセスを取得できる証明書検証の脆弱性の影響を受けます。この脆弱性は、影響を受けるデバイスが Cisco Unified Communications Manager デバイスへの接続を確立する際に受信する SSL サーバー証明書が検証されないことによるものです。攻撃者は、中間者攻撃の手法を使用してデバイス間のトラフィックを傍受し、自己署名証明書を使用してエンドポイントを偽装することで、この脆弱性を悪用する可能性があります。悪用に成功すると、攻撃者は傍受したトラフィックをクリアテキストで表示したり、トラフィックの内容を変更したりする可能性があります。

詳細については、付属の Cisco BID および Cisco Security Advisory を参照してください。
    Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Cisco Expressway シリーズおよび Cisco TelePresence VCS の不適切な証明書検証の脆弱性 (cisco-sa-expressway-csrf-sqpsSfY6)

high Nessus プラグイン ID 165761

バージョン 1.6

バージョン 1.5

バージョン 1.6 Jun 16, 2023, 8:11 AM IAVM reference Plugin Feed: 202306160811
バージョン 1.5 Oct 10, 2022, 3:53 PM Exploit attributes CVSS temporal metrics Plugin Feed: 202210101553