Pontuação CVSS 9.9: Cisco Corrige Vulnerabilidade Crítica de Escalada de Privilégios em Software de Gestão de Reuniões

Cisco, o maior fornecedor de equipamentos de rede do mundo, lançou uma atualização de segurança na quarta-feira para corrigir uma vulnerabilidade crítica de escalada de privilégios na API REST do Cisco Meeting Management.

A vulnerabilidade crítica rastreada como CVE-2025-20156 foi classificada como 9.9 de 10 no Sistema Comum de Pontuação de Vulnerabilidades (CVSS). Essa falha de escalada de privilégios, se explorada, poderia permitir que um atacante remoto e autenticado com privilégios baixos elevasse privilégios para administrador em um dispositivo afetado, representando um risco severo para as organizações.

“Essa vulnerabilidade existe porque a autorização adequada não é aplicada aos usuários da API REST. Um atacante poderia explorar essa vulnerabilidade enviando solicitações de API para um endpoint específico”, disse a empresa em um aviso na quarta-feira.

A Cisco também agradeceu a Ben Leonard-Lagarde da Modux por relatar essa vulnerabilidade.

As seguintes versões do Cisco Meeting Management são afetadas pela vulnerabilidade, independentemente da configuração do dispositivo, para as quais a Cisco lançou atualizações de software.

• Cisco Meeting Management 3.8 e anteriores: Os usuários são recomendados a migrar para uma versão corrigida, como 3.9.1.

• Cisco Meeting Management 3.9: Corrigido na 3.9.1

• Cisco Meeting Management 3.10: Esta versão não é impactada e não requer atualizações.

Até o lançamento do aviso, a Equipe de Resposta a Incidentes de Segurança de Produtos da Cisco (PSIRT) disse que não está ciente de quaisquer anúncios públicos ou uso malicioso da vulnerabilidade, pois ainda não encontraram evidências de que a falha está sendo explorada ativamente.

Infelizmente, não há soluções alternativas para mitigar essa vulnerabilidade. A única maneira de resolver esse problema é aplicar as atualizações de software necessárias.

A Cisco instou os usuários a aplicar os patches disponíveis imediatamente para mitigar o risco. Clientes com contratos de serviço que permitem atualizações regulares de software devem obter correções de segurança através de seus canais de atualização habituais.

Para aqueles que não têm contratos de serviço, eles podem entrar em contato com o Centro de Assistência Técnica (TAC) para obter ajuda na obtenção das atualizações necessárias.

Além disso, a empresa confirmou que apenas os produtos listados na seção Produtos Vulneráveis do aviso são afetados. A Cisco também aconselha os usuários a verificar a compatibilidade de hardware e software antes de atualizar para manter a segurança e a estabilidade de seus sistemas.