Cisco вступила в 2024 год с критической уязвимостью в своем продукте для унифицированного обмена сообщениями и голосовой почты Cisco Unity Connection.
омуль Рекомендации по CVE-2024-20272 Это показывает, что ошибка связана с веб-интерфейсом управления Unity Connection.
Баг обнаружил Максим Суслов. В Cisco заявили, что ей неизвестны какие-либо эксплойты.
«Эта уязвимость связана с отсутствием аутентификации в некоторых API и неправильной проверкой данных, предоставленных пользователем», — говорится в сообщении.
Он позволяет злоумышленнику загружать в систему произвольные файлы и выполнять команды операционной системы.
«Успешный эксплойт может позволить злоумышленнику хранить вредоносные файлы в системе, выполнять произвольные команды в операционной системе и повышать привилегии до root», — добавляет он.
Обхода этой ошибки не существует.
Уязвимость затрагивает Unity Connection версии 12.5 и более ранних версий; И версия 14. Прошивка доступна для обеих веток, а версия 15 не уязвима.
Пользователи должны иметь в виду, что исправления недоступны через Центр загрузки программного обеспечения Cisco; Скорее, это «специальная инженерная» версия, и для получения исправления клиентам необходимо обратиться в Центр технической поддержки Cisco (TAC).
«Чрезвычайный решатель проблем. Ниндзя для путешествий. Типичный веб-наркоман. Проводник. Писатель. Читатель. Неизлечимый организатор».
More Stories
«Сказки о Шире», «Объятия», «Кольца силы» и «Властелин колец» возвращаются в кинотеатры
Инсайдер Samsung представляет новый Galaxy Z Fold в шести цветах
Совершенно новый OLED-телевизор Samsung S90D уже в продаже: сэкономьте 200 долларов, пока есть возможность