Punteggio CVSS 9.9: Cisco Risolve una Critica Vulnerabilità di Escalation dei Privilegi nel Software di Gestione delle Riunioni

Cisco, il più grande fornitore di attrezzature di rete al mondo, ha rilasciato un aggiornamento di sicurezza mercoledì per affrontare una critica vulnerabilità di escalation dei privilegi nell’API REST di Cisco Meeting Management.

La vulnerabilità critica tracciata come CVE-2025-20156 è stata valutata 9.9 su 10 nel Common Vulnerability Scoring System (CVSS). Questo difetto di escalation dei privilegi, se sfruttato, potrebbe consentire a un attaccante remoto e autenticato con privilegi ridotti di elevare i privilegi a amministratore su un dispositivo colpito, rappresentando un grave rischio per le organizzazioni.

“Questa vulnerabilità esiste perché non viene applicata una corretta autorizzazione agli utenti dell’API REST. Un attaccante potrebbe sfruttare questa vulnerabilità inviando richieste API a un endpoint specifico,” ha dichiarato l’azienda in un avviso mercoledì.

Cisco ha anche ringraziato Ben Leonard-Lagarde di Modux per aver segnalato questa vulnerabilità.

Le seguenti versioni di Cisco Meeting Management sono interessate dalla vulnerabilità indipendentemente dalla configurazione del dispositivo, per le quali Cisco ha rilasciato aggiornamenti software.

• Cisco Meeting Management 3.8 e versioni precedenti: Si consiglia agli utenti di migrare a una versione corretta, come 3.9.1.

• Cisco Meeting Management 3.9: Corretto in 3.9.1

• Cisco Meeting Management 3.10: Questa versione non è interessata e non richiede aggiornamenti.

Al momento del rilascio dell’avviso, il Cisco Product Security Incident Response Team (PSIRT) ha dichiarato di non essere a conoscenza di annunci pubblici o utilizzi malevoli della vulnerabilità, poiché non hanno ancora trovato prove che il difetto venga attivamente sfruttato.

Sfortunatamente, non ci sono soluzioni alternative per mitigare questa vulnerabilità. L’unico modo per affrontare questo problema è applicare gli aggiornamenti software necessari.

Cisco ha esortato gli utenti ad applicare immediatamente le patch disponibili per mitigare il rischio. I clienti con contratti di servizio che consentono loro aggiornamenti software regolari dovrebbero ottenere le correzioni di sicurezza attraverso i loro consueti canali di aggiornamento.

Per coloro che non hanno contratti di servizio, possono contattare il Technical Assistance Center (TAC) per ricevere aiuto nell’ottenere gli aggiornamenti necessari.

Inoltre, l’azienda ha confermato che solo i prodotti elencati nella sezione Prodotti Vulnerabili dell’avviso sono interessati. Cisco consiglia anche agli utenti di controllare la compatibilità hardware e software prima di eseguire l’aggiornamento per mantenere la sicurezza e la stabilità dei loro sistemi.