关键词

漏洞

思科已修复其企业产品中的多个高危漏洞,其中包括 Unity Connection 中的服务器端请求伪造(SSRF)漏洞,这些漏洞可能导致代码执行或服务中断。

思科针对影响其企业产品的多个高危漏洞发布了补丁。若这些漏洞被成功利用,可能导致代码执行、服务器端请求伪造(SSRF)或拒绝服务攻击。两个值得关注的漏洞,CVE - 2026 - 20034 和 CVE - 2026 - 20035,影响到思科 Unity Connection。攻击者可利用这些漏洞发动 SSRF 攻击。

思科发布的公告称:“思科 Unity Connection 中的多个漏洞,可能使远程攻击者通过受影响设备执行任意代码,或进行服务器端请求伪造(SSRF)攻击。”

CVE - 2026 - 20034 是思科 Unity Connection 中的一个漏洞,允许经过身份验证的远程攻击者在设备上运行任意根级别代码。该问题源于对用户输入的验证不当,攻击者可发送精心构造的 API 请求,从而完全攻陷系统。思科已发布修复程序,目前没有可用的变通方法。

公告指出:“此漏洞是由于对用户提供的输入验证不足导致。攻击者可通过提交精心构造的 API 请求来利用此漏洞。成功利用该漏洞可使攻击者以根用户身份执行任意代码,这可能导致目标设备被完全攻陷。要利用此漏洞,攻击者必须拥有受影响设备上的有效用户凭据。”

CVE - 2026 - 20035 是思科 Unity Connection Web Inbox 用户界面(UI)中的漏洞,允许未经身份验证的远程攻击者执行 SSRF 攻击。该问题源于对某些 HTTP 请求的验证不当。攻击者通过发送精心构造的请求,可使设备代表他们发送任意网络流量,有可能访问内部服务。

公告称:“思科 Unity Connection Web Inbox 的 Web 用户界面中存在一个漏洞,可能使未经身份验证的远程攻击者通过受影响设备进行 SSRF 攻击。”

“此漏洞是由于对特定 HTTP 请求的输入验证不当导致。攻击者可通过向受影响设备发送精心构造的 HTTP 请求来利用此漏洞。成功利用该漏洞可使攻击者发送源自受影响设备的任意网络请求。”

以下是受影响的版本及修复版本:

思科Unity Connection 版本

修复版本

12.5 及更早版本

迁移至修复版本

14.0

14SU5

15.0

15SU4 或应用补丁文件:1 ciscocm.cuc.V15_CSCwq36774 - CSCwq36834_C0277 - 1.zip

打开网易新闻 查看精彩图片

安全圈

打开网易新闻 查看精彩图片

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!