江蘇
關(guān)鍵詞
漏洞
思科已修復(fù)其企業(yè)產(chǎn)品中的多個(gè)高危漏洞,其中包括 Unity Connection 中的服務(wù)器端請求偽造(SSRF)漏洞,這些漏洞可能導(dǎo)致代碼執(zhí)行或服務(wù)中斷。
思科針對影響其企業(yè)產(chǎn)品的多個(gè)高危漏洞發(fā)布了補(bǔ)丁。若這些漏洞被成功利用,可能導(dǎo)致代碼執(zhí)行、服務(wù)器端請求偽造(SSRF)或拒絕服務(wù)攻擊。兩個(gè)值得關(guān)注的漏洞,CVE - 2026 - 20034 和 CVE - 2026 - 20035,影響到思科 Unity Connection。攻擊者可利用這些漏洞發(fā)動 SSRF 攻擊。
思科發(fā)布的公告稱:“思科 Unity Connection 中的多個(gè)漏洞,可能使遠(yuǎn)程攻擊者通過受影響設(shè)備執(zhí)行任意代碼,或進(jìn)行服務(wù)器端請求偽造(SSRF)攻擊。”
CVE - 2026 - 20034 是思科 Unity Connection 中的一個(gè)漏洞,允許經(jīng)過身份驗(yàn)證的遠(yuǎn)程攻擊者在設(shè)備上運(yùn)行任意根級別代碼。該問題源于對用戶輸入的驗(yàn)證不當(dāng),攻擊者可發(fā)送精心構(gòu)造的 API 請求,從而完全攻陷系統(tǒng)。思科已發(fā)布修復(fù)程序,目前沒有可用的變通方法。
公告指出:“此漏洞是由于對用戶提供的輸入驗(yàn)證不足導(dǎo)致。攻擊者可通過提交精心構(gòu)造的 API 請求來利用此漏洞。成功利用該漏洞可使攻擊者以根用戶身份執(zhí)行任意代碼,這可能導(dǎo)致目標(biāo)設(shè)備被完全攻陷。要利用此漏洞,攻擊者必須擁有受影響設(shè)備上的有效用戶憑據(jù)。”
CVE - 2026 - 20035 是思科 Unity Connection Web Inbox 用戶界面(UI)中的漏洞,允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者執(zhí)行 SSRF 攻擊。該問題源于對某些 HTTP 請求的驗(yàn)證不當(dāng)。攻擊者通過發(fā)送精心構(gòu)造的請求,可使設(shè)備代表他們發(fā)送任意網(wǎng)絡(luò)流量,有可能訪問內(nèi)部服務(wù)。
公告稱:“思科 Unity Connection Web Inbox 的 Web 用戶界面中存在一個(gè)漏洞,可能使未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過受影響設(shè)備進(jìn)行 SSRF 攻擊。”
“此漏洞是由于對特定 HTTP 請求的輸入驗(yàn)證不當(dāng)導(dǎo)致。攻擊者可通過向受影響設(shè)備發(fā)送精心構(gòu)造的 HTTP 請求來利用此漏洞。成功利用該漏洞可使攻擊者發(fā)送源自受影響設(shè)備的任意網(wǎng)絡(luò)請求。”
以下是受影響的版本及修復(fù)版本:
思科Unity Connection 版本
修復(fù)版本
12.5 及更早版本
遷移至修復(fù)版本
14.0
14SU5
15.0
15SU4 或應(yīng)用補(bǔ)丁文件:1 ciscocm.cuc.V15_CSCwq36774 - CSCwq36834_C0277 - 1.zip
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
