全球最大的網路設備供應商思科於週三發布了安全性更新,以解決思科會議管理 REST API 中的一個嚴重權限升級漏洞。
被追蹤為 CVE-2025-20156 的嚴重漏洞在通用漏洞評分系統 (CVSS) 上的評分為 9.9 分(滿分為 10 分)。此權限升級缺陷如果被利用,可能會允許具有低權限的遠端、經過身份驗證的攻擊者將權限提升到受影響設備上的管理員,從而給組織帶來嚴重風險。
「此漏洞的存在是因為沒有對 REST API 使用者執行適當的授權。攻擊者可以透過向特定端點發送 API 請求來利用此漏洞。說在周三的諮詢中。
思科也感謝 Modux 的 Ben Leonard-Lagarde 報告了此漏洞。
無論裝置配置如何,以下版本的思科會議管理都會受到該漏洞的影響,思科已針對這些版本發布了軟體更新。
- 思科會議管理 3.8 及更早版本:建議使用者遷移到固定版本,例如3.9.1。
- 思科會議管理3.9:3.9.1 中修復
- 思科會議管理 3.10:此版本不受影響,不需要任何更新。
截至該通報發佈時,思科產品安全事件回應團隊 (PSIRT) 表示,他們不知道有任何公開公告或對該漏洞的惡意使用,因為他們尚未找到任何證據表明該漏洞正在被積極利用。
不幸的是,沒有解決方法可以緩解此漏洞。解決此問題的唯一方法是應用必要的軟體更新。
思科已敦促用戶立即應用可用補丁以降低風險。擁有允許定期軟體更新的服務合約的客戶應透過其常用的更新管道取得安全性修復程式。
對於沒有服務合約的用戶,可以聯繫技術援助中心 (TAC) 尋求協助以獲得必要的升級。
此外,該公司已確認,只有該公告「脆弱產品」部分列出的產品受到影響。思科也建議用戶在升級前檢查硬體和軟體相容性,以維護系統的安全性和穩定性。
