江苏
关键词
漏洞
思科已修复其企业产品中的多个高危漏洞,其中包括 Unity Connection 中的服务器端请求伪造(SSRF)漏洞,这些漏洞可能导致代码执行或服务中断。
思科针对影响其企业产品的多个高危漏洞发布了补丁。若这些漏洞被成功利用,可能导致代码执行、服务器端请求伪造(SSRF)或拒绝服务攻击。两个值得关注的漏洞,CVE - 2026 - 20034 和 CVE - 2026 - 20035,影响到思科 Unity Connection。攻击者可利用这些漏洞发动 SSRF 攻击。
思科发布的公告称:“思科 Unity Connection 中的多个漏洞,可能使远程攻击者通过受影响设备执行任意代码,或进行服务器端请求伪造(SSRF)攻击。”
CVE - 2026 - 20034 是思科 Unity Connection 中的一个漏洞,允许经过身份验证的远程攻击者在设备上运行任意根级别代码。该问题源于对用户输入的验证不当,攻击者可发送精心构造的 API 请求,从而完全攻陷系统。思科已发布修复程序,目前没有可用的变通方法。
公告指出:“此漏洞是由于对用户提供的输入验证不足导致。攻击者可通过提交精心构造的 API 请求来利用此漏洞。成功利用该漏洞可使攻击者以根用户身份执行任意代码,这可能导致目标设备被完全攻陷。要利用此漏洞,攻击者必须拥有受影响设备上的有效用户凭据。”
CVE - 2026 - 20035 是思科 Unity Connection Web Inbox 用户界面(UI)中的漏洞,允许未经身份验证的远程攻击者执行 SSRF 攻击。该问题源于对某些 HTTP 请求的验证不当。攻击者通过发送精心构造的请求,可使设备代表他们发送任意网络流量,有可能访问内部服务。
公告称:“思科 Unity Connection Web Inbox 的 Web 用户界面中存在一个漏洞,可能使未经身份验证的远程攻击者通过受影响设备进行 SSRF 攻击。”
“此漏洞是由于对特定 HTTP 请求的输入验证不当导致。攻击者可通过向受影响设备发送精心构造的 HTTP 请求来利用此漏洞。成功利用该漏洞可使攻击者发送源自受影响设备的任意网络请求。”
以下是受影响的版本及修复版本:
思科Unity Connection 版本
修复版本
12.5 及更早版本
迁移至修复版本
14.0
14SU5
15.0
15SU4 或应用补丁文件:1 ciscocm.cuc.V15_CSCwq36774 - CSCwq36834_C0277 - 1.zip
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
