Cisco ผู้ให้บริการอุปกรณ์เครือข่ายรายใหญ่ที่สุดในโลก เผยแพร่การอัปเดตความปลอดภัยเมื่อวันพุธเพื่อแก้ไขช่องโหว่การยกระดับสิทธิ์ที่สำคัญใน REST API ของ Cisco Meeting Management
ช่องโหว่ร้ายแรงที่ติดตามใน CVE-2025-20156 ได้รับการจัดอันดับ 9.9 จาก 10 บน Common Vulnerability Scoring System (CVSS) ข้อบกพร่องในการยกระดับสิทธิ์นี้ (หากถูกนำไปใช้) อาจทำให้ผู้โจมตีระยะไกลที่ผ่านการรับรองความถูกต้องซึ่งมีสิทธิ์ระดับต่ำสามารถยกระดับสิทธิ์ให้กับผู้ดูแลระบบบนอุปกรณ์ที่ได้รับผลกระทบ ซึ่งก่อให้เกิดความเสี่ยงร้ายแรงต่อองค์กร
“ช่องโหว่นี้มีอยู่เนื่องจากไม่มีการบังคับใช้การอนุญาตที่เหมาะสมกับผู้ใช้ REST API ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยส่งคำขอ API ไปยังปลายทางเฉพาะ” บริษัทพูดว่าในการให้คำปรึกษาเมื่อวันพุธ
Cisco ยังขอบคุณ Ben Leonard-Lagarde จาก Modux สำหรับการรายงานช่องโหว่นี้
Cisco Meeting Management เวอร์ชันต่อไปนี้ได้รับผลกระทบจากช่องโหว่โดยไม่คำนึงถึงการกำหนดค่าอุปกรณ์ ซึ่ง Cisco ได้เผยแพร่การอัปเดตซอฟต์แวร์แล้ว
- Cisco Meeting Management 3.8 และรุ่นก่อนหน้า:ขอแนะนำให้ผู้ใช้ย้ายไปยังรุ่นคงที่ เช่น 3.9.1
- การจัดการการประชุมของ Cisco 3.9:แพทช์ใน 3.9.1
- การจัดการการประชุมของ Cisco 3.10:เวอร์ชันนี้ไม่ได้รับผลกระทบและไม่จำเป็นต้องอัปเดตใดๆ
จากคำแนะนำดังกล่าว ทีมตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของผลิตภัณฑ์ Cisco (PSIRT) กล่าวว่าตนไม่ทราบถึงการประกาศต่อสาธารณะหรือการใช้ช่องโหว่ในทางที่ผิด เนื่องจากยังไม่พบหลักฐานใด ๆ ที่แสดงว่าข้อบกพร่องดังกล่าวกำลังถูกนำไปใช้อย่างแข็งขัน
ขออภัย ไม่มีวิธีแก้ปัญหาเฉพาะหน้าเพื่อบรรเทาช่องโหว่นี้ วิธีเดียวที่จะแก้ไขปัญหานี้คือการใช้การอัปเดตซอฟต์แวร์ที่จำเป็น
Cisco กระตุ้นให้ผู้ใช้ใช้แพตช์ที่มีอยู่ทันทีเพื่อลดความเสี่ยง ลูกค้าที่มีสัญญาบริการที่อนุญาตให้อัปเดตซอฟต์แวร์เป็นประจำควรได้รับการแก้ไขด้านความปลอดภัยผ่านช่องทางการอัปเดตตามปกติ
สำหรับผู้ที่ไม่มีสัญญาบริการ สามารถติดต่อศูนย์ช่วยเหลือด้านเทคนิค (TAC) เพื่อขอความช่วยเหลือในการขอรับการอัพเกรดที่จำเป็น
นอกจากนี้ บริษัทยังยืนยันว่าเฉพาะผลิตภัณฑ์ที่ระบุไว้ในส่วนผลิตภัณฑ์ที่มีช่องโหว่ของคำแนะนำเท่านั้นที่ได้รับผลกระทบ Cisco ยังแนะนำให้ผู้ใช้ตรวจสอบความเข้ากันได้ของฮาร์ดแวร์และซอฟต์แวร์ก่อนอัปเกรดเพื่อรักษาความปลอดภัยและความเสถียรของระบบ
