São duas as falhas que foram identificadas como sendo críticas, ambas presentes tanto na API como na interface gráfica de gestão do Expressway e VIdeo Communication Server.

CVE-2022-20754

Esta falha dada cromo crítica trata-se de uma escrita arbitrária de ficheiros nos produtos mencionados. A partir da mesma, seriam possíveis ataques de path traversal (ou atravessamento de diretório) e reescrita de ficheiros no sistema operativo. Esta situação ocorria devido à falta de validação apropriada de argumentos submetidos pelo utilizador. Desta forma, o atacante podia autenticar-se com privilégios de administrador e submeter um argumento específico.

CVE-2022-20755

Por sua vez, esta falha é de injeção de comandos, e permitia que um atacante remoto e autenticado execute código arbitrário no sistema operativo e com privilégios de administrador.

Solução

Atualizar para a versão 14.0.5

Mais informações no advisory oficial da Cisco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-filewrite-87Q5YRk