Новости Критическая ошибка CVE-2024-20272 в Unity Connection позволяет получить root-права без пароля

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Cisco дала хакерам свободный доступ к устройствам пользователей.


qpg4oqi5qf5k8tf1tf1rvcl6i3yhac06.jpg


Cisco исправила критическую уязвимость в Unity Connection, которая позволяет неаутентифицированному злоумышленнику удаленно получать root -права на неисправленных устройствах. Unity Connection — платформа обмена сообщениями и система голосовой почты, входящая в набор продуктов Cisco Unified Communications.

Уязвимость Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 7.3) связана с отсутствием аутентификации в конкретном API и неправильной проверкой данных, предоставленных пользователем. Ошибка была обнаружена в веб-интерфейсе управления Unity Connection и позволяет киберпреступнику выполнять команды в базовой операционной системе, загружать и хранить произвольные файлы в целевой системе, а также повышать привилегии до root.

Уязвимость затрагивает следующие версии Cisco Unity Connection:

  • 12.5 и более ранние версии (исправлено в версии 12.5.1.19017-4);
  • 14 (исправлено в версии 14.0.1.14006-5).

Группа реагирования на инциденты безопасности продуктов Cisco (Product Security Incident Response Team, PSIRT ) заявила, что у компании нет доказательств активного использования уязвимости в реальных условиях, но рекомендует пользователям обновиться до исправленной версии, чтобы снизить потенциальные угрозы.
 
Источник новости
www.securitylab.ru

Похожие темы