Cisco niedawno wydało aktualizacje oprogramowania, aby zaradzić krytycznemu błędowi bezpieczeństwa w swoim oprogramowaniu Unity Connection. Błąd, oznaczony jako CVE-2024-20272 i oceniany na 7,3 w skali CVSS, jest wynikiem braku uwierzytelnienia w określonym interfejsie API oraz niewłaściwej walidacji danych dostarczanych przez użytkownika. Możliwe jest, że atakujący wykorzystałby tę lukę, przesyłając dowolne pliki na dotknięty system, co pozwoliłoby na wykonanie dowolnych poleceń w systemie operacyjnym i podniesienie uprawnień do poziomu root. Błąd dotyczy wersji Cisco Unity Connection 12.5 i wcześniejszych oraz 14, a został już naprawiony w odpowiednich aktualizacjach (wersje 12.5.1.19017-4 i 14.0.1.14006-5). Odkrywcą błędu jest badacz bezpieczeństwa Maxim Suslov. Cisco dodatkowo wydało poprawki do 11 luk o średnim stopniu zagrożenia w swoim oprogramowaniu, obejmujących między innymi Identity Services Engine, WAP371 Wireless Access Point, ThousandEyes Enterprise Agent i TelePresence Management Suite (TMS). Jednakże firma zaznacza, że nie zamierza wydawać poprawki do błędu wstrzykiwania poleceń w WAP371 (CVE-2024-20287, ocena CVSS: 6.5), ponieważ urządzenie to osiągnęło już koniec swojego cyklu życia w czerwcu 2019 roku.
Cisco Unity Connection to zaawansowane rozwiązanie do zarządzania komunikacją głosową i wiadomościami, oferujące funkcje takie jak poczta głosowa, zarządzanie połączeniami telefonicznymi oraz integracja z różnymi aplikacjami komunikacyjnymi. Jest to system stworzony przede wszystkim dla firm i organizacji, zapewniający elastyczne i skalowalne możliwości zarządzania komunikacją w środowisku korporacyjnym. Unity Connection pozwala użytkownikom na łatwe zarządzanie wiadomościami głosowymi oraz połączeniami, oferując jednocześnie integrację z innymi systemami Cisco oraz obsługę różnorodnych protokołów i standardów telekomunikacyjnych.
Zdjęcie: Cisco Headquarters – Flickr/Wikimedia Commons/CC2.0