Authenticated Remote Code Execution und fehlende Authentifizierung in Atos Unify OpenScape

Title

Authenticated Remote Code Execution and Missing Authentication in Atos Unify OpenScape

Product

Atos Unify OpenScape Session Border Controller, Atos Unify OpenScape Branch, Atos Unify OpenScape BCF

Vulnerable Version

OpenScape SBC before V10 R3.3.0, OpenScape Branch V10 before V10 R3.3.0, OpenScape BCF V10 before V10 R10.10.0

Fixed Version

OpenScape SBC V10 >=R3.3.0, OpenScape Branch V10 >=R3.3.0, OpenScape BCF V10 >=R10.10.0

CVE Number

CVE-2023-36618, CVE-2023-36619

Impact

critical

Homepage

https://unify.com

Found

21.04.2023

Armin Weihbold (Office Linz) | SEC Consult Vulnerability Lab

Es wurden zwei Schwachstellen in den Atos Unify OpenScape Produkten "Session Border Controller", "Branch" und "BCF" identifiziert. Die erste erlaubt es einem niedrig privilegierten Benutzer beliebige Systembefehle mit den höchsten root-Rechten auszuführen. Unter Ausnutzung der zweiten Schwachstelle kann ein unauthentifizierter Angreifer bestimmte Konfigurationsskripte abrufen und ausführen.

Zum vollständigen Security Advisory (Englisch).

EOF Armin Weihbold / @2023

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Zurück

Authenticated Remote Code Execution und fehlende Authentifizierung in Atos Unify OpenScape

Wir nutzen Cookies

Technisch erforderlich

Analyse / Statistik

Matomo