数码之家

 找回密码
 立即注册

QQ登录

只需一步,快速开始

微信登录

微信扫一扫,快速登录

搜索
查看: 469|回复: 2

[产品] 思科产品曝出高危漏洞,允许黑客远程控制统一通信系统

[复制链接]
发表于 2024-1-30 08:36:16 | 显示全部楼层 |阅读模式

爱科技、爱创意、爱折腾、爱极致,我们都是技术控

您需要 登录 才可以下载或查看,没有账号?立即注册 微信登录

x
The Hacker News 网站消息,思科近期发布了一个新安全补丁,解决了影响统一通信和联络中心解决方案产品的关键安全漏洞,该漏洞可能允许未经认证的远程威胁攻击者在受影响的设备上执行任意代码。
  安全漏洞被跟踪为 CVE-2024-20253(CVSS 得分:9.9),Synacktiv 安全研究员 Julien Egloff 发现并报告这一问题。据悉,漏洞主要源于对用户提供的数据不当处理,威胁攻击者能够滥用这些数据向受影响设备的监听端口发送特制信息。
  思科在一份公告中表示,一旦威胁攻击者成功利用 CVE-2024-20253 安全漏洞,便可以使用网络服务用户的权限在底层操作系统上执行任意命令,通过访问底层操作系统,威胁攻击者还可以在受影响的设备上建立 root 访问权限。受该漏洞影响的产品包括:
统一通信管理器(版本 11.5、12.5(1) 和 14)
统一通信管理器即时消息和出席服务(版本 11.5(1)、12.5(1) 和 14)
统一通信管理器会话管理版(版本 11.5、12.5(1) 和 14)
统一联络中心快车(12.0 及更早版本和 12.5(1) 版本)
统一连接(版本 11.5(1)、12.5(1) 和 14),以及
虚拟语音浏览器(12.0 及更早版本、12.5(1) 和 12.5(2) 版)
  值得一提的是,目前尚没有解决 CVE-2024-20253 安全漏洞的具体方法,但网络设备制造商思科方面敦促用户尽快设置访问控制列表,以最大程度上限制无法立即应用安全更新的访问。

  此外,思科方面还表示,用户也可以在思科统一通信或思科联络中心解决方案集群与用户和网络其他部分隔离开的中间设备上建立访问控制列表(ACL),只允许访问已部署服务的端口。
  思科近期屡屡曝出安全漏洞问题,几周前,思科才发布了针对影响 Unity Connection 的重大安全漏洞(CVE-2024-20272,CVSS 得分:7.3)的安全更新修复程序。
  参考文章:

发表于 2024-1-30 08:55:11 | 显示全部楼层
思科早就是美国政府帮凶了,这些漏洞明显是故意为之。华为的设备普及让美国控制力下降才促使出手打压的,还贼喊捉贼的说华为有后门。
回复 支持 反对

使用道具 举报

发表于 2024-1-30 08:57:41 | 显示全部楼层
安全永远应该列为第一位
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 微信登录

本版积分规则

APP|手机版|小黑屋|关于我们|联系我们|法律条款|技术知识分享平台

闽公网安备35020502000485号

闽ICP备2021002735号-2

GMT+8, 2025-7-23 08:07 , Processed in 0.234001 second(s), 11 queries , Redis On.

Powered by Discuz!

© 2006-2025 MyDigit.Net

快速回复 返回顶部 返回列表