Puntuación CVSS 9.9: Cisco Corrige Vulnerabilidad Crítica de Escalación de Privilegios en el Software de Gestión de Reuniones

Cisco, el mayor proveedor de equipos de red en el mundo, lanzó una actualización de seguridad el miércoles para abordar una vulnerabilidad crítica de escalación de privilegios en la API REST de Cisco Meeting Management.

La vulnerabilidad crítica rastreada como CVE-2025-20156 ha sido calificada con 9.9 de 10 en el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS). Este defecto de escalación de privilegios, si se explota, podría permitir a un atacante remoto y autenticado con bajos privilegios elevar sus privilegios a administrador en un dispositivo afectado, lo que representa un grave riesgo para las organizaciones.

“Esta vulnerabilidad existe porque no se aplica una autorización adecuada a los usuarios de la API REST. Un atacante podría explotar esta vulnerabilidad enviando solicitudes API a un punto final específico”, dijo la empresa en un aviso el miércoles.

Cisco también agradeció a Ben Leonard-Lagarde de Modux por informar sobre esta vulnerabilidad.

Las siguientes versiones de Cisco Meeting Management están afectadas por la vulnerabilidad independientemente de la configuración del dispositivo, para las cuales Cisco ha lanzado actualizaciones de software.

• Cisco Meeting Management 3.8 y anteriores: Se recomienda a los usuarios migrar a una versión corregida, como 3.9.1.

• Cisco Meeting Management 3.9: Corregido en 3.9.1

• Cisco Meeting Management 3.10: Esta versión no está afectada y no requiere actualizaciones.

A partir de la publicación del aviso, el Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT) dijo que no tiene conocimiento de anuncios públicos o uso malicioso de la vulnerabilidad, ya que aún no han encontrado evidencia de que el defecto esté siendo explotado activamente.

Desafortunadamente, no hay soluciones alternativas para mitigar esta vulnerabilidad. La única forma de abordar este problema es aplicar las actualizaciones de software necesarias.

Cisco ha instado a los usuarios a aplicar los parches disponibles de inmediato para mitigar el riesgo. Los clientes con contratos de servicio que les permitan actualizaciones de software regulares deben obtener correcciones de seguridad a través de sus canales de actualización habituales.

Para aquellos que no tienen contratos de servicio, pueden contactar al Centro de Asistencia Técnica (TAC) para obtener ayuda en la obtención de las actualizaciones necesarias.

Además, la empresa ha confirmado que solo los productos enumerados en la sección de Productos Vulnerables del aviso están afectados. Cisco también aconseja a los usuarios que verifiquen la compatibilidad de hardware y software antes de actualizar para mantener la seguridad y estabilidad de sus sistemas.