据BleepingComputer消息，思科 BroadWorks 应用交付平台和思科 BroadWorks Xtended 服务平台出现了严重漏洞，可能允许远程攻击者伪造凭证并绕过身份验证。

思科 BroadWorks 是面向企业和消费者的云通信服务平台，漏洞由思科安全工程师内部发现，编号为 CVE-2023-20238，CVSS 评分达到了最高级别的10分。

通过利用该漏洞，攻击者可以自由执行命令、访问机密数据、更改用户设置以及进行电话欺诈。受影响的思科应用交付平台和 BroadWorks Xtended 服务平台功能包括认证服务、BW呼叫中心、自定义媒体文件检索、版主客户端应用程序等。

除上述提到的两个组件之外，CVE-2023-20238 不会影响任何其他 BroadWorks 组件，因此其他产品的用户无需采取任何操作。

思科称，攻击者利用该漏洞后所获得的能力取决于伪造帐户的权限级别，“管理员”级别将是最糟糕的情况。然而，利用该缺陷的先决条件之一是拥有与目标 Cisco BroadWorks 系统关联的有效用户 ID。这种情况可能会减少利用 CVE-2023-20238 的攻击者数量，但这并不能缓解问题，因此风险仍然很严重。

思科没有针对此缺陷提供任何解决方法，因此建议的解决方案是针对 23.0 分支版本的用户更新到 AP.platform.23.0.1075.ap385341，针对独立版本的用户更新到版本 2023.06_1.333 或 2023.07_1.332 （RI）版。

CVE-2023-20238 也会影响 22.0 分支的用户，但思科不会发布该版本的安全更新，因此建议旧版本用户的响应是迁移到固定版本。

目前，还没有关于 CVE-2023-20238 被主动利用的报告，但系统管理员应 尽快应用可用的更新。

参考来源：Cisco BroadWorks impacted by critical authentication bypass flaw