思科已修复 Unity Connection 中的一个严重漏洞,该漏洞可能允许未经身份验证的攻击者远程获取未修补设备上的root访问权限。Unity Connection 是思科统一通信产品套件中包含的消息传递平台和语音邮件系统。
漏洞 CVE-2024-20272 (CVSS 评分:7.3)是由于特定API 中缺乏身份验证以及对用户提供的数据验证不当造成的。该漏洞是在 Unity Connection Web 管理界面中发现的,允许网络犯罪分子在底层操作系统上执行命令、在目标系统上下载和存储任意文件以及将权限升级为 root。
该漏洞影响 Cisco Unity Connection 的以下版本:
- 12.5 及更早版本(在版本 12.5.1.19017-4 中修复);
- 4(在版本 14.0.1.14006-5 中修复)。
思科产品安全事件响应团队(PSIRT)表示,该公司没有证据表明该漏洞正在被广泛利用,但建议用户更新到已修补的版本以减少潜在威胁。
发表评论
您还未登录,请先登录。
登录