Категория > Новости > Cisco патчит критическую уязвимость в Meeting Management - «Новости»

Cisco патчит критическую уязвимость в Meeting Management - «Новости»


27-01-2025, 00:00. Автор: Walkman

Компания Cisco выпустила обновления для устранения критической уязвимости (9,9 балла по шкале CVSS) в Meeting Management. Ошибка позволяет удаленному аутентифицированному злоумышленнику получить привилегии администратора.


Уязвимость получила идентификатор CVE-2025-20156 и описывается как недостаток повышения привилегий в REST API Cisco Meeting Management.


«Уязвимость возникает из-за отсутствия надлежащей авторизации для пользователей REST API, — говорится в сообщении компании. — Злоумышленник может эксплуатировать уязвимость, отправляя API-запросы на определенный эндпоинт. Успешное использование проблемы может позволить злоумышленнику получить административный контроль над граничными узлами, управляемыми Cisco Meeting Management».


CVE-2025-20156 затрагивает следующие версии продукта, независимо от конфигурации:



  • Cisco Meeting Management версии 3.9 (исправлено в версии 3.9.1);

  • Cisco Meeting Management версии 3.8 и более ранние (рекомендуется перейти на исправленную версию);

  • Cisco Meeting Management версии 3.10 (не подвержена уязвимости).


Также стоит отметить, что ранее на этой неделе Cisco выпустила патч для устранения DoS-уязвимости BroadWorks, связанной с некорректной работой с памятью при определенных запросах Session Initiation Protocol (SIP). Уязвимость получила идентификатор CVE-2025-20165 (7,5 балла по шкале CVSS) и была устранена в версии RI.2024.11.


«Злоумышленник может использовать эту уязвимость, отправив большое количество SIP-запросов на уязвимую систему, — объясняют разработчики. — Успешная эксплуатация позволяет исчерпать память, выделенную Cisco BroadWorks Network Servers, обрабатывающим SIP-трафик. При отсутствии памяти серверы не смогут обрабатывать входящие запросы, что приведет к возникновению DoS, и для восстановления работы потребуется ручное вмешательство».


Третья уязвимость, исправленная Cisco на этой неделе — CVE-2025-20128 (5,3 балла по шкале CVSS). Она представляет собой ошибку целочисленного переполнения, влияющую на процедуру расшифровки Object Linking and Embedding 2 (OLE2) в ClamAV. Этот баг так же  может привести к возникновению отказа в обслуживании (DoS). При этом в Cisco подчеркнули, что для этой уязвимости уже доступен PoC-эксплоит.

Перейти обратно к новости