CVSS Score 9.9: Cisco устраняет критическую уязвимость повышения привилегий в программном обеспечении управления встречами

Cisco, крупнейший поставщик сетевого оборудования в мире, выпустила обновление безопасности в среду, чтобы устранить критическую уязвимость повышения привилегий в REST API Cisco Meeting Management.

Критическая уязвимость, отслеживаемая как CVE-2025-20156, была оценена в 9.9 из 10 по системе оценки общих уязвимостей (CVSS). Этот недостаток повышения привилегий, если его эксплуатировать, может позволить удаленному, аутентифицированному злоумышленнику с низкими привилегиями повысить привилегии до администратора на затронутом устройстве, что представляет собой серьезный риск для организаций.

“Эта уязвимость существует, потому что надлежащая авторизация не применяется к пользователям REST API. Злоумышленник может использовать эту уязвимость, отправляя API-запросы на определенную конечную точку,” - заявила компания в своем уведомлении в среду.

Cisco также поблагодарила Бена Леонарда-Лагарда из Modux за сообщение об этой уязвимости.

Следующие версии Cisco Meeting Management подвержены уязвимости независимо от конфигурации устройства, для которых Cisco выпустила обновления программного обеспечения.

• Cisco Meeting Management 3.8 и ранее: Пользователям рекомендуется перейти на исправленную версию, такую как 3.9.1.

• Cisco Meeting Management 3.9: Исправлено в 3.9.1

• Cisco Meeting Management 3.10: Эта версия не затронута и не требует обновлений.

На момент выпуска уведомления команда реагирования на инциденты безопасности продуктов Cisco (PSIRT) заявила, что не знает о каких-либо публичных объявлениях или злонамеренном использовании уязвимости, так как они еще не нашли никаких доказательств того, что недостаток активно эксплуатируется.

К сожалению, нет обходных путей для смягчения этой уязвимости. Единственный способ решить эту проблему - применить необходимые обновления программного обеспечения.

Cisco призвала пользователей немедленно применить доступные патчи для снижения риска. Клиенты с сервисными контрактами, которые позволяют им регулярно обновлять программное обеспечение, должны получать исправления безопасности через свои обычные каналы обновления.

Для тех, у кого нет сервисных контрактов, они могут обратиться в Центр технической поддержки (TAC) за помощью в получении необходимых обновлений.

Кроме того, компания подтвердила, что только продукты, перечисленные в разделе Уязвимые продукты уведомления, подвержены уязвимости. Cisco также советует пользователям проверить совместимость аппаратного и программного обеспечения перед обновлением, чтобы поддерживать безопасность и стабильность своих систем.