सिस्को ने अपने यूनिफाइड कम्युनिकेशंस मैनेजर (CM) सिस्टम में एक गंभीर कमजोरी के लिए पैच जारी किए हैं, यह प्लेटफॉर्म कॉर्पोरेट कॉल को प्रबंधित करने के लिए उपयोग किया जाता है। यह खामी, जिसे गंभीर श्रेणी में रखा गया है, एक दूरस्थ हमलावर को बिना प्रमाणीकरण के अनधिकृत कोड निष्पादित करने की अनुमति देती है। शोधकर्ताओं द्वारा एक कार्यात्मक एक्सप्लॉइट प्रकाशित करने के बाद सुधार की तात्कालिकता बढ़ गई, जिससे हजारों कंपनियां अपने संचार नेटवर्क में संभावित घुसपैठ के लिए उजागर हो गईं।
पैच और कमजोरी के तकनीकी विवरण 🔧
CVE-2025-20124 के रूप में पहचानी गई यह कमजोरी, यूनिफाइड CM के वेब-आधारित प्रशासन इंटरफेस में मौजूद है। यह इनपुट डेटा के गलत सत्यापन के कारण उत्पन्न होती है, जो मनमाने कमांड इंजेक्ट करने की अनुमति देती है। सिस्को संस्करण 15.0.1.23900-1 या उसके बाद के संस्करण में अपडेट करने की सलाह देता है। इसके अलावा, यह एक्सेस कंट्रोल लिस्ट (ACL) और नेटवर्क सेगमेंटेशन के माध्यम से प्रशासन इंटरफेस तक पहुंच को प्रतिबंधित करने का सुझाव देता है। GitHub रिपॉजिटरी में उपलब्ध सार्वजनिक एक्सप्लॉइट हमले को सरल बनाता है, इसलिए अपडेट अत्यावश्यक है।
एक्सप्लॉइट जो सोमवार की कॉफी से पहले आया ☕
ऐसा लगता है कि शोधकर्ताओं को समय पर चेतावनी देने की तुलना में खतरनाक खिलौने साझा करने में अधिक उत्साह है। सिस्को को, हमेशा की तरह, पैच लगाने के लिए दौड़ना पड़ा, जबकि सिस्टम एडमिनिस्ट्रेटर अपने कॉल सर्वर के बारे में सोचकर पसीना बहा रहे थे। मजेदार बात यह है कि एक्सप्लॉइट सप्ताहांत से ठीक पहले प्रकाशित हुआ, जैसे कि वे चाहते थे कि आईटी टीमों के पास सोमवार सुबह करने के लिए कुछ दिलचस्प हो। अच्छा हुआ कि कॉफी गर्म थी।