HackerNews 编译,转载请注明出处:
思科公司已发布安全更新,修复其统一通信管理器(Unified Communications Manager,简称Unified CM)和统一通信管理器会话管理版(Unified CM SME)中的一个最高严重级别安全漏洞。该漏洞可能允许攻击者以root用户身份登录受影响的设备,从而获得权限提升。
该漏洞编号为CVE-2025-20309,CVSS评分为10.0。
思科在周三发布的公告中表示:“此漏洞源于为开发阶段预留的root账户静态用户凭证。攻击者可能利用该账户登录受影响系统。成功利用漏洞后,攻击者能够以root用户身份登录系统并执行任意命令。”
此类硬编码凭证通常源自开发阶段的测试或临时修复,但绝不应出现在生产环境中。对于处理企业语音通话和通信的Unified CM等工具而言,root权限可能使攻击者进一步渗透网络、窃听通话或篡改用户登录方式。
这家网络设备巨头表示,目前尚未发现该漏洞在野外被利用的证据,且漏洞是在内部安全测试期间发现的。
CVE-2025-20309影响Unified CM和Unified CM SME的15.0.1.13010-1至15.0.1.13017-1版本,与设备配置无关。
此次漏洞修复距思科修复身份服务引擎(ISE)和ISE被动身份连接器中的两个安全漏洞(CVE-2025-20281和CVE-2025-20282)仅数日。后两个漏洞可能允许未经身份验证的攻击者以root用户身份执行任意命令。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
