Cisco выпустила исправления для устранения критического недостатка безопасности, влияющего на продукты для унифицированных коммуникаций и решений контакт-центров, которые могут позволить удаленному злоумышленнику без проверки подлинности выполнять произвольный код на уязвимом устройстве.
Отслеживаемая как CVE-2024-20253 (оценка CVSS: 9,9), проблема связана с ненадлежащей обработкой предоставленных пользователем данных, которыми злоумышленник мог злоупотребить для отправки специально подготовленного сообщения на прослушивающий порт уязвимого устройства.
"Успешный эксплойт может позволить злоумышленнику выполнять произвольные команды в базовой операционной системе с привилегиями пользователя веб-служб", - сказал Cisco в рекомендательном письме. "Имея доступ к базовой операционной системе, злоумышленник также может установить root-доступ на уязвимом устройстве".
Исследователю безопасности Synactiv Жюльену Эглоффу приписывают обнаружение CVE-2024-20253 и сообщение о них. Ошибка затронула следующие продукты. -
"Установите списки контроля доступа (ACL) на промежуточных устройствах, которые отделяют кластер решений Cisco Unified Communications или Cisco Contact Center Solutions от пользователей и остальной сети, чтобы разрешить доступ только к портам развернутых служб", - заявили в компании.
Раскрытие поступило через несколько недель после того, как Cisco представила исправления критического недостатка безопасности, влияющего на Unity Connection (CVE-2024-20272, оценка CVSS: 7.3), который может позволить злоумышленнику выполнять произвольные команды в базовой системе.
Отслеживаемая как CVE-2024-20253 (оценка CVSS: 9,9), проблема связана с ненадлежащей обработкой предоставленных пользователем данных, которыми злоумышленник мог злоупотребить для отправки специально подготовленного сообщения на прослушивающий порт уязвимого устройства.
"Успешный эксплойт может позволить злоумышленнику выполнять произвольные команды в базовой операционной системе с привилегиями пользователя веб-служб", - сказал Cisco в рекомендательном письме. "Имея доступ к базовой операционной системе, злоумышленник также может установить root-доступ на уязвимом устройстве".
Исследователю безопасности Synactiv Жюльену Эглоффу приписывают обнаружение CVE-2024-20253 и сообщение о них. Ошибка затронула следующие продукты. -
- Unified Communications Manager (версии 11.5, 12.5(1) и 14)
- Служба обмена мгновенными сообщениями и присутствия Unified Communications Manager (версии 11.5(1), 12.5(1), и 14)
- Unified Communications Manager Session Management Edition (версии 11.5, 12.5(1) и 14)
- Unified Contact Center Express (версии 12.0 и более ранние и 12.5(1))
- Unity Connection (версии 11.5(1), 12.5(1), и 14), и
- Виртуализированный голосовой браузер (версии 12.0 и более ранние, 12.5 (1) и 12.5 (2))
"Установите списки контроля доступа (ACL) на промежуточных устройствах, которые отделяют кластер решений Cisco Unified Communications или Cisco Contact Center Solutions от пользователей и остальной сети, чтобы разрешить доступ только к портам развернутых служб", - заявили в компании.
Раскрытие поступило через несколько недель после того, как Cisco представила исправления критического недостатка безопасности, влияющего на Unity Connection (CVE-2024-20272, оценка CVSS: 7.3), который может позволить злоумышленнику выполнять произвольные команды в базовой системе.
