کشف نقص امنیتی در محصولات Cisco Unity Connection
سیسکو یک آسیبپذیری با شناسه CVE-2024-20272 با شدت بالا (7.3) را در نرمافزار Unity Connection برطرف کرده است. این آسیبپذیری به مهاجم اجازه میدهد دستورات دلخواه خود را در سیستم اجرا کند. این نقص امنیتی در بخشی از رابط مدیریت مبتنی بر وب قرار دارد که فرآیند آپلود فایل نادرست پیادهسازی شده است، امکان سوءاستفاده از آن برای اجرای دستورات مخرب بر روی سیستم آسیبدیده وجود دارد.
این آسیبپذیری ناشی از عدم انجام فرآیند احراز هویت صحیح در یک API خاص و اعتبارسنجی نامناسب دادههای ارسالی کاربر است. این امر باعث میشود که مهاجمان بتوانند از این نقص امنیتی برای بارگذاری فایلهای مخرب به سیستم استفاده کنند و به این ترتیب کنترل کامل سیستم را در اختیار بگیرند.
محصولات تحت تأثیر
Cisco Unity Connection نسخههای 12.5 و قبلتر و نسخه 14 تحت تأثیر این آسیبپذیری قرار میگیرند.
توصیههای امنیتی
به کاربران توصیه میشود در اسرع وقت Cisco Unity Connection نسخه 12.5 را به نسخه 4-12.5.1.19017 و نسخه 14 را به نسخه 5-14.0.1.14006 ارتقاء دهند.