Компания Cisco выпустила обновления для устранения критической уязвимости (9,9 балла по шкале CVSS) в Meeting Management. Ошибка позволяет удаленному аутентифицированному злоумышленнику получить привилегии администратора. Уязвимость получила идентификатор CVE-2025-20156 и описывается как недостаток повышения привилегий в REST API Cisco Meeting Management. «Уязвимость возникает из-за отсутствия надлежащей авторизации для пользователей REST API, — говорится в сообщении компании. — Злоумышленник может эксплуатировать уязвимость, отправляя API-запросы на определенный эндпоинт. Успешное использование проблемы может позволить злоумышленнику получить административный контроль над граничными узлами, управляемыми Cisco Meeting Management». CVE-2025-20156 затрагивает следующие версии продукта, независимо от конфигурации: Cisco Meeting Management версии 3.9 (исправлено в версии 3.9.1); Cisco Meeting Management версии 3.8 и более ранние (рекомендуется перейти на исправленную версию); Cisco Meeting Management версии 3.10 (не подвержена уязвимости). Также стоит отметить, что ранее на этой неделе Cisco выпустила патч для устранения DoS-уязвимости BroadWorks, связанной с некорректной работой с памятью при определенных запросах Session Initiation Protocol (SIP). Уязвимость получила идентификатор CVE-2025-20165 (7,5 балла по шкале CVSS) и была устранена в версии RI.2024.11. «Злоумышленник может использовать эту уязвимость, отправив большое количество SIP-запросов на уязвимую систему, — объясняют разработчики. — Успешная эксплуатация позволяет исчерпать память, выделенную Cisco BroadWorks Network Servers, обрабатывающим SIP-трафик. При отсутствии памяти серверы не смогут обрабатывать входящие запросы, что приведет к возникновению DoS, и для восстановления работы потребуется ручное вмешательство». Третья уязвимость, исправленная Cisco на этой неделе — CVE-2025-20128 (5,3 балла по шкале CVSS). Она представляет собой ошибку целочисленного переполнения, влияющую на процедуру расшифровки Object Linking and Embedding 2 (OLE2) в ClamAV. Этот баг так же может привести к возникновению отказа в обслуживании (DoS). При этом в Cisco подчеркнули, что для этой уязвимости уже доступен PoC-эксплоит.