Rui Ataide

**Nome do software vulnerável e versões afetadas** Série Cisco Expressway e Cisco TelePresence Video Communication Server (VCS) (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na interface de gerenciamento baseada na web poderia permitir que um invasor remoto autenticado executasse código arbitrário no sistema operacional subjacente como usuário root. Esse problema se deve ao tratamento incorreto de determinadas imagens de software criadas especificamente para esse fim e enviadas para o dispositivo afetado. Um invasor poderia explorar essa vulnerabilidade autenticando-se no sistema como usuário administrativo e, em seguida, enviando imagens de software criadas especificamente para esse fim para o dispositivo afetado. Uma exploração bem-sucedida poderia permitir que o invasor executasse código arbitrário no sistema operacional subjacente como usuário root. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Série Cisco Expressway e Cisco TelePresence Video Communication Server (VCS) (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na função de verificação de imagens poderia permitir que um invasor remoto autenticado executasse código com privilégios de usuário interno no sistema operacional subjacente. O problema se deve à validação insuficiente do conteúdo dos pacotes de atualização. Um invasor poderia explorar essa vulnerabilidade enviando um arquivo malicioso para a “página de atualização” da interface web administrativa. Uma exploração bem-sucedida poderia permitir que o invasor executasse código com privilégios de nível de usuário (a conta nobody) no sistema operacional subjacente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.