Cisco предупредила о критической уязвимости в своих продуктах

Компания CISCO сообщила о критической уязвимости CVE-2024-20253, которая представляет опасность для двух ее продуктов: Unified Communications Manager, Contact Center Solutions, Unity Connection и Virtualized Voice Browser. Проблему обнаружили в Synacktiv и она получила 9,8 баллов по CVSS. Cisco также опубликовала список из одиннадцати продуктов, которые не подвержены данной проблеме безопасности.

Уязвимость позволяет неавторизованному пользователю удаленно выполнять код на скомпрометированных устройствах. Она возникает из-за некорректной обработки пользовательских данных, которые считываются в памяти устройства. Доступ к операционной системе также позволяет хакеру получить root-права на устройстве.

Для усиления защиты в Cisco порекомендовали пользователям установить списки контроля доступа (ACL) на промежуточные устройства, которые отделяют кластер Cisco Unified Communications или Cisco Contact Center Solutions от пользователей. Компания также отметила, что ей неизвестно о каких-либо случаях эксплуатации данной уязвимости.