思科称严重的 Unity Connection 漏洞可导致攻击者获得root权限

最新推荐文章于 2024-04-18 17:34:56 发布
最新推荐文章于 2024-04-18 17:34:56 发布
阅读量187 收藏
点赞数
文章标签: unity 游戏引擎
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518649&idx=1&sn=21ff8ab835664822aef75af18b5178a8&chksm=eb7a7690d00511a259de278c16abf394863c635d240ce92a42ee9b55febd5f51ce6b6030733c&scene=126&sessionid=0
版权
思科修复了一个严重的UnityConnection漏洞,允许未授权攻击者获取root权限。同时,多个产品中的中危漏洞和0day被发现,包括WAP371的命令注入漏洞。奇安信代码卫士提供相关产品试用地址。
摘要由CSDN通过智能技术生成

d80f71d9e1d944a8903d5a39f8235794.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

思科已修复一个严重的 Unity Connection 漏洞,可导致未认证攻击者远程获得未修复设备上的 root 权限。

Unity Connection 是适用于具有高度可用性和冗余支持的邮箱收件箱、web浏览器、思科 Jabber、思科 Unified IP Phone、智能手机或平板的完全虚拟化的消息和语音邮件解决方案。

该严重漏洞的编号是CVE-2024-20272,位于Unity Connection 软件的基于 web 的管理接口,可导致攻击者通过将任意文件上传至目标和易受攻击系统的方法,在底层操作系统上执行命令。

思科解释称,“该漏洞是由缺乏对特定API的验证和对用户提供数据的验证不当导致的。攻击者可将任意文件上传到受影响系统中,利用该漏洞。成功利用该漏洞可导致攻击者将恶意文件存储在系统上、在操作系统执行任意命令并将权限提升至 root。”

幸运的是,思科产品安全事件响应团队 (PSIRT) 表示,未有证据表明存在公开的 PoC 利用或该漏洞遭在野利用。

a239efa9d7dc294b7bf0a21a62544768.gif

fca7b58be6d8fb7cecc3909005f443c2.png

含有 PoC 利用的命令注入漏洞

今天,思科还修复了位于多款产品中的10个中危漏洞,它们可导致攻击者提升权限、发动XSS攻击、注入命令等。

思科表示,其中一个漏洞,即位于 WAP371 Wireless Access Point web 管理接口中的命令注入漏洞CVE-2024-20287的 PoC 利用代码已存在。不过,尽管攻击者可通过root权限在未修复设备上执行任意代码,但成功利用还需具有管理员凭据。思科表示,由于 WAP371 设备已在2019年6月已达生命周期,因此将不会发布固件更新修复该漏洞。思科建议用户迁移到 Cisco Business 240AC Access Point。今年10月份,思科还修复了两个0day漏洞CVE-2023-20198和CVE-2023-20273,仅在一周内,这两个漏洞就被用于入侵5万多台 IOS XE 设备。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

罗克韦尔自动化称 Stratix 交换机受思科0day影响

思科新0day 被用于在数千台设备上植入恶意后门 Lua

思科披露称严重的 IOS XE 认证绕过0day已遭利用

思科紧急修复 Emergency Responder 系统中的严重漏洞

思科 BroadWorks 受严重的认证绕过漏洞影响

原文链接

https://www.bleepingcomputer.com/news/security/cisco-says-critical-unity-connection-bug-lets-attackers-get-root/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

181ca7294c1221b5bf5ce0d163b0e71b.jpeg

b0397c08eabe58220a4b4c198b0d7dd8.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   940308e28716da19c8eb34e5a8148a86.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
CiscoUnityConnection.pdf 英文原版
08-20
Cisco Unity Connection
udp unity 通过端口通讯_Cisco Unity Connection SIP中继集成端口UDP 5060拒绝服务漏洞
weixin_39870092的博客
01-14 419
发布日期:2015-04-02更新日期:2015-04-07受影响系统:Cisco Unity Connection描述:CVE(CAN) ID: CVE-2015-0612Cisco Unity Connection是一个功能丰富的语音留言平台,采用Linux统一通信操作系统。Cisco Unity ConnectionConnection Conversation Manager (CuCs...
思科产品曝出高危漏洞,允许黑客远程控制统一通信系统
FreeBuf_的博客
01-29 481
思科在一份公告中表示,一旦威胁攻击者成功利用 CVE-2024-20253 安全漏洞,便可以使用网络服务用户的权限在底层操作系统上执行任意命令,通过访问底层操作系统,威胁攻击者还可以在受影响的设备上建立 root 访问权限。The Hacker News 网站消息,思科近期发布了一个新安全补丁,解决了影响统一通信和联络中心解决方案产品的关键安全漏洞,该漏洞可能允许未经认证的远程威胁攻击者在受影响的设备上执行任意代码。统一连接(版本 11.5(1)、12.5(1) 和 14),以及。
Unity Connection 实现AutoAttendant
weixin_34107739的博客
10-24 411
AA即AutoAttendant,语音自动应答。当用户拨打某公司电话进入语音应答系统,通过语音提示完成呼叫,例如欢迎致电某公司,请直拨分机号,查号请拨0。 一、Unity Connection与CCM集成。 1.在Untiy Connection下telephone system下,选择phohesystem 点击如下如所示: ...
思科IOS 漏洞导致未认证的远程DoS 攻击
smellycat000的专栏
04-01 89
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士思科为旗舰款 IOS 和 IOS XE 操作系统软件发布安全更新,为Access Point 软件发布补丁。思科发布 Cisco IOS 发布14个漏洞安全更新,其中14个漏洞是拒绝服务漏洞,可导致系统崩溃、异常重新加载以及堆缓冲。其中最严重的 DoS 漏洞可遭未认证的远程攻击者利用。其它漏洞导致提权、命令注入和访问控制列表绕过等后果。思科 A...
思科修复IMC 高危根提权漏洞
最新发布
smellycat000的专栏
04-18 497
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士思科修复了一个位于集成管理控制器 (IMC) 中的高危漏洞,可导致本地攻击者提权至 root,其利用代码已被公开。思科 IMC 是一款主板管理控制器,用于通过多个接口如 XML API、web (WebUI) 和命令行 (CLI) 接口等管理 UCS C-Series Rack 和 UCS S-Series Storage 服务。思科解释,“思...
思科提醒注意通信软件中的严重 RCE 漏洞
smellycat000的专栏
01-26 318
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士思科提醒,多款 Unified Communications Manager (CM) 和 Contact Center Solutions 产品易受严重的远程代码执行漏洞 (CVE-2024-20253) 影响。思科 Unified Communications 和 Contact Center Solutions 是一体化解决方案,提供企业...
Cisco Unified套件 远程代码执行漏洞通告
爱国小白帽
04-09 459
报告编号:B6-2021-040802 报告来源:360CERT 报告作者:360CERT 更新日期:2021-04-08 0x01 漏洞简述 2021年04月08日,360CERT监测发现Cisco发布了Unified系列组件的风险通告,漏洞编号为CVE-2021-1362,漏洞等级:高危,漏洞评分:8.8。 Cisco Unified 套件是思科统一通信解决方案中强大的呼叫处理组件。该组件的中存在一处远程代码执行漏洞,针对该漏洞利用需要攻击者拥有系统的登录凭据。 对此,360CERT建议广大用户及时.
Cisco Unity
03-05
Cisco Unity――面向企业级机构的高级统一通信解决方案可以提供强大的消息发送服务(将电子邮件、语音留言和传真信息发送到同一个收件箱中)和智能化的语音消息发送服务(功能全面的语音邮件可以提供先进的功能),从而可以提高您的机构的通信能力,提高工作效率,以及增强客户服务功能。Cisco Unity可以提供先进的、基于整合的通信服务,并将它们与您日常使用的桌面应用相集成。利用Cisco Unity的统一消息功能,您可以通过电话收听您的电子邮件,通过互联网检查您的语音留言,以及――在与一个受支持的第三方传真服务器相集成时――将传真转发到您所在的地方。Cisco Unity语音留言功能具有强大的自动服务功能,其中包括智能路由,可以轻松定制的呼叫屏幕和留言通知选项。
Unity实现攻击范围检测并绘制检测区域
08-19
Unity实现攻击范围检测并绘制检测区域 Unity是一个流行的游戏引擎,它提供了许多实用的功能和工具帮助开发者快速构建游戏。攻击范围检测和绘制检测区域是游戏开发中一个非常重要的功能,它可以帮助游戏开发者快速...
unity3d 怪物AI智能攻击源码
05-31
unity3d 智能攻击源码,内附带详细注释。 温馨提示:导入unity3d资源包时,路径不能带中文,也不要放桌面。
unity 各种攻击特效
12-02
unity 各种攻击特效 碉堡了
思科提醒注意Small Business路由器中的XSS漏洞
smellycat000的专栏
04-07 91
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士思科提醒注意 Small Business RV016、RV042、RV042G、RV082和RV325路由器中的一个XSS漏洞。该中危漏洞编号是CVE-2024-20362,位于思科 Small Business RV016、RV042、RV042G、RV082和RV325路由器的 web 管理接口中。未认证的远程攻击者可对接口用户实施XSS攻...
Unity动态获取安卓权限(Android6.0以上可用)
LSC112的博客
04-25 936
AndroidManifest.xml文件中需要在Application节点内加入下边这行,目的是关闭权限申请弹窗 <meta-data android:name="unityplayer.SkipPermissionsDialog" android:value="true" /> manifest文件中还需要加入你需要获取的权限(如果不加入,无法动态获取) <uses-permission android:name="android.permission.MODI.
Cisco UCCX和Cisco Unity安装心得
繁星流动天际
04-08 500
在上一周,挨踢小茶做了一个Cisco CUCM8的安装,当然只是装了Publisher,然后要等过几天做数据迁移再装另外两台Subscriber。鉴于这次语音升级还牵扯到Cisco UCCX(Cisco Unified Contact Center Express)和Cisco Unity Connection(Voicemail),今天我做了这两个系统的安装,在这里跟大家分享一下我的心得。  ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值