江蘇
關鍵詞
漏洞
思科已修復其企業產品中的多個高危漏洞,其中包括 Unity Connection 中的服務器端請求偽造(SSRF)漏洞,這些漏洞可能導致代碼執行或服務中斷。
思科針對影響其企業產品的多個高危漏洞發布了補丁。若這些漏洞被成功利用,可能導致代碼執行、服務器端請求偽造(SSRF)或拒絕服務攻擊。兩個值得關注的漏洞,CVE - 2026 - 20034 和 CVE - 2026 - 20035,影響到思科 Unity Connection。攻擊者可利用這些漏洞發動 SSRF 攻擊。
思科發布的公告稱:“思科 Unity Connection 中的多個漏洞,可能使遠程攻擊者通過受影響設備執行任意代碼,或進行服務器端請求偽造(SSRF)攻擊。”
CVE - 2026 - 20034 是思科 Unity Connection 中的一個漏洞,允許經過身份驗證的遠程攻擊者在設備上運行任意根級別代碼。該問題源于對用戶輸入的驗證不當,攻擊者可發送精心構造的 API 請求,從而完全攻陷系統。思科已發布修復程序,目前沒有可用的變通方法。
公告指出:“此漏洞是由于對用戶提供的輸入驗證不足導致。攻擊者可通過提交精心構造的 API 請求來利用此漏洞。成功利用該漏洞可使攻擊者以根用戶身份執行任意代碼,這可能導致目標設備被完全攻陷。要利用此漏洞,攻擊者必須擁有受影響設備上的有效用戶憑據。”
CVE - 2026 - 20035 是思科 Unity Connection Web Inbox 用戶界面(UI)中的漏洞,允許未經身份驗證的遠程攻擊者執行 SSRF 攻擊。該問題源于對某些 HTTP 請求的驗證不當。攻擊者通過發送精心構造的請求,可使設備代表他們發送任意網絡流量,有可能訪問內部服務。
公告稱:“思科 Unity Connection Web Inbox 的 Web 用戶界面中存在一個漏洞,可能使未經身份驗證的遠程攻擊者通過受影響設備進行 SSRF 攻擊。”
“此漏洞是由于對特定 HTTP 請求的輸入驗證不當導致。攻擊者可通過向受影響設備發送精心構造的 HTTP 請求來利用此漏洞。成功利用該漏洞可使攻擊者發送源自受影響設備的任意網絡請求。”
以下是受影響的版本及修復版本:
思科Unity Connection 版本
修復版本
12.5 及更早版本
遷移至修復版本
14.0
14SU5
15.0
15SU4 或應用補丁文件:1 ciscocm.cuc.V15_CSCwq36774 - CSCwq36834_C0277 - 1.zip
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
