江苏
关键词
安全漏洞
Cisco 已修补一个关键的 Unity Connection 安全漏洞,该漏洞可让未经身份验证的攻击者在未修补的设备上远程获得 root 权限。
Unity Connection 是一款完全虚拟化的消息传递和语音邮件解决方案,适用于电子邮件收件箱、Web 浏览器、Cisco Jabber、Cisco Unified IP 电话、智能手机或平板电脑,具有高可用性和冗余支持。
该漏洞 (CVE-2024-20272) 是在该软件基于 Web 的管理界面中发现的,它允许攻击者通过将任意文件上传到目标和易受攻击的系统来在底层操作系统上执行命令。
“此漏洞是由于特定 API 中缺乏身份验证以及对用户提供的数据的验证不当。攻击者可以通过将任意文件上传到受影响的系统来利用此漏洞,“思科解释道。
“成功的利用漏洞可能允许攻击者在系统上存储恶意文件,在操作系统上执行任意命令,并将权限提升到 root。”
幸运的是,思科的产品安全事件响应团队(PSIRT)表示,该公司没有证据表明该漏洞存在公开的概念验证漏洞利用或在野外积极利用。
Cisco Unity Connection版本 第一个固定版本 12.5 及更早版本 12.5.1.19017-4 14 14.0.1.14006-5 15 不易受攻击 PoC漏洞的命令注入缺陷
思科还在多个产品中修补了 10 个中等严重性安全漏洞,允许攻击者提升权限、发起跨站脚本 (XSS) 攻击、注入命令等。
该公司表示,这些漏洞之一的概念验证漏洞利用代码可在线获得,该漏洞是在思科 WAP2024 无线接入点的基于 Web 的管理界面中被跟踪为 CVE-20287-371 的命令注入漏洞。
但是,尽管攻击者可以利用此漏洞在未修补的设备上以 root 权限执行任意命令,但成功利用此漏洞也需要管理凭据。
思科表示,由于思科 WAP2024 设备已于 20287 年 371 月停产,因此不会发布固件更新来修补 CVE-2019-<> 安全漏洞。
该公司建议在其网络上使用WAP371设备的客户迁移到Cisco Business 240AC接入点。
2023 月,思科还修补了两个零日漏洞(CVE-20198-2023 和 CVE-20273-50),这些漏洞在一周内入侵了超过 000,<> 台 IOS XE 设备。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
