HackerNews

HackerNews
Cisco 确认 Unified CM 漏洞已在野外被利用

Cisco 确认 Unified CM 漏洞已在野外被利用

给文章评分:

Cisco 证实,其 Unified Communications Manager (Unified CM) 和 Unified Communications Manager Session Management Edition (Unified CM SME) 中最近修补的一个漏洞已在野外被利用。
该安全缺陷被追踪为 CVE-2026-20230(CVSS 评分 8.6),被描述为对特定 HTTP 请求的验证不当,这可能允许攻击者发起 SSRF 攻击。
成功利用该漏洞可能导致任意文件被放置到底层操作系统上,随后可用于获取 root 访问权限。
Cisco 表示,只有启用了 WebDialer 服务的设备易受攻击。该服务默认处于禁用状态。
6月初,Cisco 为 Unified CM 和 Unified CM SME 版本 14SU6 推出了针对该 CVE 的补丁,并宣布修复程序也将包含在预计于9月发布的版本 15SU5 中。
Cisco 曾警告称,存在针对该漏洞的概念验证 (PoC) 代码,但表示当时并未意识到其在野外被利用。
周三,该公司更新了其公告,警告客户该安全缺陷正在攻击中被积极利用。
“Cisco 继续强烈建议客户升级到已修复的软件版本以消除此漏洞,”该公司表示。
这一警告是在漏洞情报公司 Defused 报告看到“来自单一来源使用未经审查的 PoC”的利用行为,以及 credited 发现该漏洞的 SSD Secure Disclosure 发布技术信息和 PoC 一周后发出的。
当时,Cisco 告诉 SecurityWeek,它并未意识到该安全弱点有任何恶意使用。


消息来源:securityweek.com
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
分享到:
hackernews

hackernews

该作者暂无简介