全球最大的网络设备提供商思科于周三发布了安全更新,以解决思科会议管理 REST API 中的一个严重权限升级漏洞。
被跟踪为 CVE-2025-20156 的严重漏洞在通用漏洞评分系统 (CVSS) 上的评分为 9.9 分(满分 10 分)。此权限升级缺陷如果被利用,可能会允许具有低权限的经过身份验证的远程攻击者将权限提升到受影响设备上的管理员,从而给组织带来严重风险。
“此漏洞的存在是因为没有对 REST API 用户执行适当的授权。攻击者可以通过向特定端点发送 API 请求来利用此漏洞,”该公司说在周三的咨询中。
思科还感谢 Modux 的 Ben Leonard-Lagarde 报告了此漏洞。
无论设备配置如何,以下版本的思科会议管理都会受到该漏洞的影响,思科已针对这些版本发布了软件更新。
- 思科会议管理 3.8 及更早版本:建议用户迁移到固定版本,例如3.9.1。
- 思科会议管理3.9:3.9.1 中修复
- 思科会议管理 3.10:此版本不受影响,不需要任何更新。
截至该通报发布时,思科产品安全事件响应团队 (PSIRT) 表示,他们不知道有任何公开公告或对该漏洞的恶意使用,因为他们尚未找到任何证据表明该漏洞正在被积极利用。
不幸的是,没有解决方法可以缓解此漏洞。解决此问题的唯一方法是应用必要的软件更新。
思科已敦促用户立即应用可用补丁以降低风险。拥有允许定期软件更新的服务合同的客户应通过其常用的更新渠道获取安全修复程序。
对于没有服务合同的用户,可以联系技术援助中心 (TAC) 寻求帮助以获得必要的升级。
此外,该公司已确认,只有该公告“脆弱产品”部分列出的产品受到影响。思科还建议用户在升级前检查硬件和软件兼容性,以维护系统的安全性和稳定性。
