Unity Connection 是适用于具有高度可用性和冗余支持的邮箱收件箱、web浏览器、思科 Jabber、思科 Unified IP Phone、智能手机或平板的完全虚拟化的消息和语音邮件解决方案。

该严重漏洞的编号是CVE-2024-20272，位于Unity Connection 软件的基于 web 的管理接口，可导致攻击者通过将任意文件上传至目标和易受攻击系统的方法，在底层操作系统上执行命令。

思科解释称，“该漏洞是由缺乏对特定API的验证和对用户提供数据的验证不当导致的。攻击者可将任意文件上传到受影响系统中，利用该漏洞。成功利用该漏洞可导致攻击者将恶意文件存储在系统上、在操作系统执行任意命令并将权限提升至 root。”

幸运的是，思科产品安全事件响应团队 (PSIRT) 表示，未有证据表明存在公开的 PoC 利用或该漏洞遭在野利用。

含有 PoC 利用的命令注入漏洞

今天，思科还修复了位于多款产品中的10个中危漏洞，它们可导致攻击者提升权限、发动XSS攻击、注入命令等。

思科表示，其中一个漏洞，即位于 WAP371 Wireless Access Point web 管理接口中的命令注入漏洞CVE-2024-20287的 PoC 利用代码已存在。不过，尽管攻击者可通过root权限在未修复设备上执行任意代码，但成功利用还需具有管理员凭据。思科表示，由于 WAP371 设备已在2019年6月已达生命周期，因此将不会发布固件更新修复该漏洞。思科建议用户迁移到 Cisco Business 240AC Access Point。今年10月份，思科还修复了两个0day漏洞CVE-2023-20198和CVE-2023-20273，仅在一周内，这两个漏洞就被用于入侵5万多台 IOS XE 设备。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~