https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

思科修補Meeting Management重大權限漏洞,可導致遠端提權攻擊

2025 / 01 / 24
編輯部
思科修補Meeting Management重大權限漏洞,可導致遠端提權攻擊
思科(Cisco)近期發布安全公告,指出其Meeting Management系統存在一個重大安全漏洞,該漏洞已被編號為CVE-2025-20156,CVSS評分高達9.9分。根據公告內容,遠端攻擊者可透過此漏洞提升權限至系統管理員等級。

該漏洞源自於Meeting Management的REST API未正確實施使用者授權機制。思科表示,攻擊者若成功利用此漏洞,將可向特定API端點發送請求,進而取得Meeting Management所管理的邊緣節點之管理員控制權。此問題影響了Meeting Management 3.9及更早版本,其中3.9版本已在3.9.1中獲得修復,而3.10版本則未受影響。

除了這個高危漏洞外,思科本次更新同時修補了BroadWorks系統中的一個拒絕服務漏洞(CVE-2025-20165)。該漏洞源自於系統處理SIP請求時的記憶體管理問題,攻擊者可透過發送大量SIP請求來耗盡系統記憶體,導致網路伺服器無法處理新請求。此漏洞的CVSS評分為7.5,已在RI.2024.11版本中修復。

另外,思科也修復了ClamAV中的一個整數下溢漏洞(CVE-2025-20128,CVSS評分5.3)。該漏洞存在於OLE2解密程序中,雖然已有概念驗證程式碼流出,但目前尚未發現遭到惡意利用的跡象。

思科強調,考量到這些漏洞的嚴重性,建議用戶儘速更新至修復版本。這次的Meeting Management重大漏洞由Modux公司的安全研究員Ben Leonard-Lagarde所發現並回報。

本文轉載自thehackernews。