Cisco 已为其统一通信管理器(CM)系统发布了一个关键漏洞的补丁,该系统用于管理企业呼叫。该漏洞被评定为严重级别,允许远程攻击者在无需身份验证的情况下执行未经授权的代码。在研究人员发布了一个功能性漏洞利用程序后,修复的紧迫性增加,使数千家企业面临通信网络被入侵的风险。
补丁与漏洞的技术细节 🔧
该漏洞编号为 CVE-2025-20124,存在于 Unified CM 的 Web 管理界面中。它源于对输入数据的验证不正确,从而允许注入任意命令。Cisco 建议更新至 15.0.1.23900-1 或更高版本。此外,建议通过访问控制列表(ACL)和网络分段来限制对管理界面的访问。该漏洞利用程序已在 GitHub 仓库中公开,简化了攻击过程,因此更新迫在眉睫。
比周一咖啡来得还快的漏洞利用程序 ☕
看来研究人员更热衷于分享危险的玩具,而不是提前发出警告。Cisco 一如既往地不得不匆忙打补丁,而系统管理员则担心他们的呼叫服务器而汗流浃背。有趣的是,这个漏洞利用程序恰好在周末前发布,仿佛是想让 IT 团队在周一早上有点有趣的事情做。好在咖啡还是热的。