Cisco вступила в 2024 год с критической уязвимостью в своем продукте для унифицированного обмена сообщениями и голосовой почты Cisco Unity Connection.
омуль Рекомендации по CVE-2024-20272 Это показывает, что ошибка связана с веб-интерфейсом управления Unity Connection.
Баг обнаружил Максим Суслов. В Cisco заявили, что ей неизвестны какие-либо эксплойты.
«Эта уязвимость связана с отсутствием аутентификации в некоторых API и неправильной проверкой данных, предоставленных пользователем», — говорится в сообщении.
Он позволяет злоумышленнику загружать в систему произвольные файлы и выполнять команды операционной системы.
«Успешный эксплойт может позволить злоумышленнику хранить вредоносные файлы в системе, выполнять произвольные команды в операционной системе и повышать привилегии до root», — добавляет он.
Обхода этой ошибки не существует.
Уязвимость затрагивает Unity Connection версии 12.5 и более ранних версий; И версия 14. Прошивка доступна для обеих веток, а версия 15 не уязвима.
Пользователи должны иметь в виду, что исправления недоступны через Центр загрузки программного обеспечения Cisco; Скорее, это «специальная инженерная» версия, и для получения исправления клиентам необходимо обратиться в Центр технической поддержки Cisco (TAC).
More Stories
Сложный подъем для велосипедистов
AirPods Pro в списке «лучших изобретений» показывает, что Apple по-прежнему впечатляет
Apple включает неожиданные улучшения функций в свой MacBook Pro начального уровня