A Cisco lançou correções para uma falha crítica em seu Expressway Series e TelePresence Video Communication Server (VCS) que pode permitir que um invasor autenticado com credenciais somente leitura em nível de administrador eleve seus privilégios para administrador com credenciais de leitura e gravação em um sistema afetado.

A falha de escalonamento de privilégio (CVE-2023-20105), decorre do tratamento incorreto de solicitações de alteração de senha, permitindo assim que um invasor altere as senhas de qualquer usuário no sistema, incluindo uma leitura e gravação administrativa usuário e, em seguida, representar esse usuário.

Uma segunda vulnerabilidade de alta gravidade no mesmo produto (CVE-2023-20192) pode permitir que um invasor local autenticado execute comandos e modifique os parâmetros de configuração do sistema.

Como solução alternativa, a Cisco recomenda que os clientes desabilitem o acesso CLI para usuários somente leitura. Ambos os problemas foram resolvidos nas versões 14.2.1 e 14.3.0 do VCS, respectivamente.