CVE-2022-20807

Cisco Expressway Series (versões afetadas não especificadas)

Cisco TelePresence Video Communication Server (versões afetadas não especificadas)

O problema está relacionado à restrição inadequada de entidades externas XML no software do Cisco Expressway e do Cisco TelePresence Video Communication Server. Isso poderia permitir que um invasor remoto visualizasse o conteúdo de arquivos arbitrários no servidor ou realizasse varreduras de rede na infraestrutura interna e externa. Um invasor remoto autenticado também pode ser capaz de gravar arquivos ou divulgar informações confidenciais em um dispositivo afetado por meio da API e das interfaces de gerenciamento baseadas na web.

Para a Série Cisco Expressway, atualize para uma versão que corrija o problema, se disponível.

Para o Cisco TelePresence Video Communication Server, atualize para uma versão que corrija o problema, se disponível.

Como solução temporária, considere restringir o acesso à API e às interfaces de gerenciamento baseadas na web até que um patch esteja disponível.

Evite usar os pontos de extremidade da API vulneráveis até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.