Cisco вступила в 2024 год с критической уязвимостью в своем продукте для унифицированного обмена сообщениями и голосовой почты Cisco Unity Connection.

омуль Рекомендации по CVE-2024-20272 Это показывает, что ошибка связана с веб-интерфейсом управления Unity Connection.
Баг обнаружил Максим Суслов. В Cisco заявили, что ей неизвестны какие-либо эксплойты.
«Эта уязвимость связана с отсутствием аутентификации в некоторых API и неправильной проверкой данных, предоставленных пользователем», — говорится в сообщении.
Он позволяет злоумышленнику загружать в систему произвольные файлы и выполнять команды операционной системы.
«Успешный эксплойт может позволить злоумышленнику хранить вредоносные файлы в системе, выполнять произвольные команды в операционной системе и повышать привилегии до root», — добавляет он.
Обхода этой ошибки не существует.
Уязвимость затрагивает Unity Connection версии 12.5 и более ранних версий; И версия 14. Прошивка доступна для обеих веток, а версия 15 не уязвима.
Пользователи должны иметь в виду, что исправления недоступны через Центр загрузки программного обеспечения Cisco; Скорее, это «специальная инженерная» версия, и для получения исправления клиентам необходимо обратиться в Центр технической поддержки Cisco (TAC).


More Stories
Отказ от физических дисков для PlayStation назвали закономерным этапом развития игровой индустрии
REDMI Note 17 получит 7-дюймовый OLED-дисплей, а версия Pro — аккумулятор на 9000 мА·ч
Nintendo приостановила продажи многоязычной версии Switch 2 в Японии из-за перекупщиков