12.01.2024 | Критическая ошибка CVE-2024-20272 в Unity Connection позволяет получить root-права без пароля |
Cisco исправила критическую уязвимость в Unity Connection, которая позволяет неаутентифицированному злоумышленнику удаленно получать root -права на неисправленных устройствах. Unity Connection — платформа обмена сообщениями и система голосовой почты, входящая в набор продуктов Cisco Unified Communications. Уязвимость CVE-2024-20272 (оценка CVSS: 7.3) связана с отсутствием аутентификации в конкретном API и неправильной проверкой данных, предоставленных пользователем. Ошибка была обнаружена в веб-интерфейсе управления Unity Connection и позволяет киберпреступнику выполнять команды в базовой операционной системе, загружать и хранить произвольные файлы в целевой системе, а также повышать привилегии до root. Уязвимость затрагивает следующие версии Cisco Unity Connection:
Группа реагирования на инциденты безопасности продуктов Cisco (Product Security Incident Response Team, PSIRT ) заявила, что у компании нет доказательств активного использования уязвимости в реальных условиях, но рекомендует пользователям обновиться до исправленной версии, чтобы снизить потенциальные угрозы. |
Проверить безопасность сайта