Cisco 紧急修复 Unified CM 中存在的严重 Root 账户漏洞

admin 2025年7月8日01:32:17评论3 views字数 754阅读2分30秒阅读模式

Cisco 紧急修复 Unified CM 中存在的严重 Root 账户漏洞

关键词

安全漏洞

Cisco 紧急修复 Unified CM 中存在的严重 Root 账户漏洞

网络设备巨头 Cisco 公司近日发布紧急安全通告,并针对其 Unified Communications Manager(统一通信管理器,简称 Unified CM)及 Session Management Edition(SME)中的一个关键漏洞(CVE-2025-20309)发布修复更新。该漏洞被评为 CVSS 10.0 的最高严重等级,表明它极易被远程攻击者利用,后果极其严重。

漏洞详情

Cisco 公告指出,该漏洞源于设备中预设的静态 root 用户凭据,原本用于开发测试,但在生产环境中仍然存在。这些凭据不可修改也不可删除,使攻击者可无需身份验证即可远程以 root 身份登录系统,从而获得完全控制权限。

一旦成功利用该漏洞,攻击者可:

  • 访问和窃取敏感通信数据;

  • 篡改或瘫痪语音通信服务;

  • 将受害系统作为跳板,攻击内部网络的其他系统。

受影响版本

漏洞影响如下版本的 Unified CM 与 Unified CM SME:

版本范围:15.0.1.13010-1 至 15.0.1.13017-1

漏洞存在于系统核心,不受配置影响,因此几乎所有部署此版本的客户都面临风险。

官方响应与建议

Cisco 表示该漏洞尚未被发现遭到实际利用,但没有可行的临时缓解措施。官方已发布修复补丁,强烈建议所有客户立即升级受影响的系统。

  • 拥有服务合同的用户可通过正常渠道获取补丁;

  • 非合同用户可联系 Cisco TAC(技术支持中心)免费获取更新。

安全专家建议

安全公司 Black Duck 的首席工程师 Ben Ronallo 指出:

“组织应立即升级系统,并参考 Cisco 提供的威胁指标,启动应急响应流程。该漏洞具备高危权限利用能力,可能被用于数据泄露或网络钓鱼攻击。”

 END 

原文始发于微信公众号(安全圈):【安全圈】Cisco 紧急修复 Unified CM 中存在的严重 Root 账户漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年7月8日01:32:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Cisco 紧急修复 Unified CM 中存在的严重 Root 账户漏洞https://cn-sec.com/archives/4229682.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息