思科修補Meeting Management重大權限漏洞，可導致遠端提權攻擊

2025 / 01 / 24

編輯部

思科（Cisco）近期發布安全公告，指出其Meeting Management系統存在一個重大安全漏洞，該漏洞已被編號為CVE-2025-20156，CVSS評分高達9.9分。根據公告內容，遠端攻擊者可透過此漏洞提升權限至系統管理員等級。

該漏洞源自於Meeting Management的REST API未正確實施使用者授權機制。思科表示，攻擊者若成功利用此漏洞，將可向特定API端點發送請求，進而取得Meeting Management所管理的邊緣節點之管理員控制權。此問題影響了Meeting Management 3.9及更早版本，其中3.9版本已在3.9.1中獲得修復，而3.10版本則未受影響。

除了這個高危漏洞外，思科本次更新同時修補了BroadWorks系統中的一個拒絕服務漏洞（CVE-2025-20165）。該漏洞源自於系統處理SIP請求時的記憶體管理問題，攻擊者可透過發送大量SIP請求來耗盡系統記憶體，導致網路伺服器無法處理新請求。此漏洞的CVSS評分為7.5，已在RI.2024.11版本中修復。

另外，思科也修復了ClamAV中的一個整數下溢漏洞（CVE-2025-20128，CVSS評分5.3）。該漏洞存在於OLE2解密程序中，雖然已有概念驗證程式碼流出，但目前尚未發現遭到惡意利用的跡象。

思科強調，考量到這些漏洞的嚴重性，建議用戶儘速更新至修復版本。這次的Meeting Management重大漏洞由Modux公司的安全研究員Ben Leonard-Lagarde所發現並回報。

本文轉載自thehackernews。

遠端提權攻擊