CVSS 점수 9.9: Cisco, 회의 관리 소프트웨어의 치명적인 권한 상승 취약점 패치

Cisco, 세계 최대의 네트워킹 장비 공급업체,는 수요일에 Cisco Meeting Management의 REST API에서 발견된 치명적인 권한 상승 취약점을 해결하기 위한 보안 업데이트를 발표했습니다.

CVE-2025-20156으로 추적되는 이 치명적인 취약점은 공통 취약점 점수 시스템(CVSS)에서 10점 만점에 9.9로 평가되었습니다. 이 권한 상승 결함이 악용될 경우, 원격의 인증된 공격자가 낮은 권한에서 관리자 권한으로 상승할 수 있어 조직에 심각한 위험을 초래할 수 있습니다.

“이 취약점은 REST API 사용자에 대한 적절한 권한 부여가 시행되지 않기 때문에 존재합니다. 공격자는 특정 엔드포인트에 API 요청을 보내 이 취약점을 악용할 수 있습니다.”라고 회사는 수요일에 발표했습니다.

Cisco는 또한 이 취약점을 보고한 Modux의 Ben Leonard-Lagarde에게 감사를 표했습니다.

Cisco Meeting Management의 다음 버전은 장치 구성에 관계없이 취약점의 영향을 받으며, Cisco는 이에 대한 소프트웨어 업데이트를 발표했습니다.

• Cisco Meeting Management 3.8 및 이전 버전: 사용자는 3.9.1과 같은 수정된 릴리스로 마이그레이션할 것을 권장합니다.

• Cisco Meeting Management 3.9: 3.9.1에서 패치됨

• Cisco Meeting Management 3.10: 이 버전은 영향을 받지 않으며 업데이트가 필요하지 않습니다.

수요일 발표 당시, Cisco 제품 보안 사건 대응 팀(PSIRT)은 이 취약점의 공개 발표나 악의적인 사용에 대한 인식이 없다고 밝혔으며, 결함이 적극적으로 악용되고 있다는 증거를 찾지 못했다고 전했습니다.

불행히도 이 취약점을 완화할 수 있는 우회 방법은 없습니다. 이 문제를 해결하는 유일한 방법은 필요한 소프트웨어 업데이트를 적용하는 것입니다.

Cisco는 사용자가 위험을 완화하기 위해 즉시 사용 가능한 패치를 적용할 것을 촉구했습니다. 정기적인 소프트웨어 업데이트를 허용하는 서비스 계약이 있는 고객은 일반적인 업데이트 채널을 통해 보안 수정을 받아야 합니다.

서비스 계약이 없는 경우, 필요한 업그레이드를 받기 위해 기술 지원 센터(TAC)에 문의할 수 있습니다.

또한, 회사는 자문서의 취약한 제품 섹션에 나열된 제품만 영향을 받는다고 확인했습니다. Cisco는 사용자가 시스템의 안전성과 안정성을 유지하기 위해 업그레이드 전에 하드웨어 및 소프트웨어 호환성을 확인할 것을 권장합니다.