思科修复高危漏洞,防范 SSRF 与代码执行攻击
- 浏览次数 68
- 喜欢 0
思科已修复其企业产品中的多个高危漏洞,其中包括 Unity Connection 中的服务器端请求伪造(SSRF)漏洞,这些漏洞可能导致代码执行或服务中断。
思科针对影响其企业产品的多个高危漏洞发布了补丁。若这些漏洞被成功利用,可能导致代码执行、服务器端请求伪造(SSRF)或拒绝服务攻击。两个值得关注的漏洞,CVE - 2026 - 20034 和 CVE - 2026 - 20035,影响到思科 Unity Connection。攻击者可利用这些漏洞发动 SSRF 攻击。
思科发布的公告称:“思科 Unity Connection 中的多个漏洞,可能使远程攻击者通过受影响设备执行任意代码,或进行服务器端请求伪造(SSRF)攻击。”
CVE - 2026 - 20034 是思科 Unity Connection 中的一个漏洞,允许经过身份验证的远程攻击者在设备上运行任意根级别代码。该问题源于对用户输入的验证不当,攻击者可发送精心构造的 API 请求,从而完全攻陷系统。思科已发布修复程序,目前没有可用的变通方法。
公告指出:“此漏洞是由于对用户提供的输入验证不足导致。攻击者可通过提交精心构造的 API 请求来利用此漏洞。成功利用该漏洞可使攻击者以根用户身份执行任意代码,这可能导致目标设备被完全攻陷。要利用此漏洞,攻击者必须拥有受影响设备上的有效用户凭据。”
CVE - 2026 - 20035 是思科 Unity Connection Web Inbox 用户界面(UI)中的漏洞,允许未经身份验证的远程攻击者执行 SSRF 攻击。该问题源于对某些 HTTP 请求的验证不当。攻击者通过发送精心构造的请求,可使设备代表他们发送任意网络流量,有可能访问内部服务。
公告称:“思科 Unity Connection Web Inbox 的 Web 用户界面中存在一个漏洞,可能使未经身份验证的远程攻击者通过受影响设备进行 SSRF 攻击。”
“此漏洞是由于对特定 HTTP 请求的输入验证不当导致。攻击者可通过向受影响设备发送精心构造的 HTTP 请求来利用此漏洞。成功利用该漏洞可使攻击者发送源自受影响设备的任意网络请求。”
以下是受影响的版本及修复版本:
| 思科 Unity Connection 版本 | 首次修复版本 |
|---|---|
| 12.5 及更早版本 | 迁移至修复版本 |
| 14.0 | 14SU5 |
| 15.0 | 15SU4 或应用补丁文件:1 ciscocm.cuc.V15_CSCwq36774 - CSCwq36834_C0277 - 1.zip |
思科产品安全事件响应团队(PSIRT)表示,尚未发现有关这些漏洞的公开报告或恶意利用情况。
消息来源:securityaffairs.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文