Ciscoは、企業向け通話管理プラットフォームであるUnified Communications Manager (CM) システムにおける重大な脆弱性に対するパッチをリリースしました。深刻と評価されるこの欠陥により、リモートの攻撃者が認証なしで不正なコードを実行できる可能性があります。研究者が機能するエクスプロイトを公開し、数千の企業が通信ネットワークへの侵入の可能性にさらされたため、修正の緊急性が高まりました。
パッチと脆弱性の技術的詳細 🔧
CVE-2025-20124 として特定されたこの脆弱性は、Unified CM の Web 管理インターフェースに存在します。これは、入力データの検証が不適切であるために発生し、任意のコマンドを注入することを可能にします。Cisco はバージョン 15.0.1.23900-1 以降にアップデートすることを推奨しています。また、アクセス制御リスト (ACL) とネットワークセグメンテーションを使用して管理インターフェースへのアクセスを制限することも推奨しています。GitHub リポジトリで公開されているエクスプロイトにより攻撃が容易になっているため、アップデートは緊急です。
月曜のコーヒーよりも先に届いたエクスプロイト ☕
研究者たちは、事前に警告するよりも危険なおもちゃを共有することに熱心なようです。Cisco はいつものように、システム管理者がコールサーバーのことを考えて冷や汗をかいている間に、パッチを急いで適用しなければなりませんでした。面白いことに、エクスプロイトは週末の直前に公開され、まるで IT チームが月曜の朝に何か面白いことをするように仕向けているかのようでした。コーヒーが熱々で良かったです。