Cisco发布了软件更新,解决了影响Unity Connection的严重安全漏洞,该漏洞可能允许攻击者在基础系统上执行任意命令。
漏洞详情
漏洞标识符:CVE-2024-20272(CVSS评分:7.3)
漏洞类型:任意文件上传漏洞
影响版本:
- 12.5及更早版本(在版本12.5.1.19017-4中修复)
- 14(在版本14.0.1.14006-5中修复)
漏洞描述:漏洞存在于基于Web的管理界面中,是由于特定API中缺乏身份验证以及对用户提供的数据的不正确验证。
攻击者可以通过向受影响的系统上传任意文件来利用此漏洞。成功利用漏洞可能允许攻击者在系统上存储恶意文件,执行操作系统上的任意命令,并提升权限至root。
发现者和报告
安全研究员Maxim Suslov被认定为发现并报告此漏洞。
安全建议
尽管Cisco未提到漏洞在野外被利用,但建议用户及时更新到修复版本以降低潜在威胁。
补丁和其他漏洞修复
除了CVE-2024-20272的修复补丁外,Cisco还发布了用于解决其软件中包括Identity Services Engine、WAP371 Wireless Access Point、ThousandEyes Enterprise Agent和TelePresence Management Suite(TMS)等11个中等严重性漏洞的更新。
值得注意的是,对于WAP371中的命令注入漏洞(CVE-2024-20287,CVSS评分:6.5),Cisco表示不打算发布修复补丁,因为该设备于2019年6月已达到生命周期结束(EoL)。相反,建议客户迁移到Cisco Business 240AC Access Point。
结论
Cisco的迅速响应和发布修复措施显示了他们对网络安全的重视。用户应密切关注厂商的安全公告,并及时更新其系统以确保最佳的网络安全性。