思科Unity Connection 中的严重错误 CVE-2024-20272 允许无密码提权

阅读量75211

发布时间 : 2024-01-12 12:05:31

思科已修复 Unity Connection 中的一个严重漏洞,该漏洞可能允许未经身份验证的攻击者远程获取未修补设备上的root访问权限。Unity Connection 是思科统一通信产品套件中包含的消息传递平台和语音邮件系统。

 漏洞 CVE-2024-20272 CVSS 评分:7.3)是由于特定API 中缺乏身份验证以及对用户提供的数据验证不当造成的。该漏洞是在 Unity Connection Web 管理界面中发现的,允许网络犯罪分子在底层操作系统上执行命令、在目标系统上下载和存储任意文件以及将权限升级为 root

该漏洞影响 Cisco Unity Connection 的以下版本:

  •  12.5 及更早版本(在版本 12.5.1.19017-4 中修复);
  • 4(在版本 14.0.1.14006-5 中修复)。

思科产品安全事件响应团队(PSIRT)表示,该公司没有证据表明该漏洞正在被广泛利用,但建议用户更新到已修补的版本以减少潜在威胁。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66