思科称严重的 Unity Connection 漏洞可导致攻击者获得root权限
编译:代码卫士
思科已修复一个严重的 Unity Connection 漏洞,可导致未认证攻击者远程获得未修复设备上的 root 权限。
Unity Connection 是适用于具有高度可用性和冗余支持的邮箱收件箱、web浏览器、思科 Jabber、思科 Unified IP Phone、智能手机或平板的完全虚拟化的消息和语音邮件解决方案。
该严重漏洞的编号是CVE-2024-20272,位于Unity Connection 软件的基于 web 的管理接口,可导致攻击者通过将任意文件上传至目标和易受攻击系统的方法,在底层操作系统上执行命令。
思科解释称,“该漏洞是由缺乏对特定API的验证和对用户提供数据的验证不当导致的。攻击者可将任意文件上传到受影响系统中,利用该漏洞。成功利用该漏洞可导致攻击者将恶意文件存储在系统上、在操作系统执行任意命令并将权限提升至 root。”
幸运的是,思科产品安全事件响应团队 (PSIRT) 表示,未有证据表明存在公开的 PoC 利用或该漏洞遭在野利用。
今天,思科还修复了位于多款产品中的10个中危漏洞,它们可导致攻击者提升权限、发动XSS攻击、注入命令等。
思科表示,其中一个漏洞,即位于 WAP371 Wireless Access Point web 管理接口中的命令注入漏洞CVE-2024-20287的 PoC 利用代码已存在。不过,尽管攻击者可通过root权限在未修复设备上执行任意代码,但成功利用还需具有管理员凭据。思科表示,由于 WAP371 设备已在2019年6月已达生命周期,因此将不会发布固件更新修复该漏洞。思科建议用户迁移到 Cisco Business 240AC Access Point。今年10月份,思科还修复了两个0day漏洞CVE-2023-20198和CVE-2023-20273,仅在一周内,这两个漏洞就被用于入侵5万多台 IOS XE 设备。
https://www.bleepingcomputer.com/news/security/cisco-says-critical-unity-connection-bug-lets-attackers-get-root/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。