Una vulnerabilità critica di Cisco consente l’esecuzione remota di codice

Gen 30, 2024 RSS

Cisco ha pubblicato un avviso di sicurezza dove ha reso nota una vulnerabilità critica che colpisce i prodotti Unified Communications e Contact Center. Il bug, tracciato come CVE-2024-20253, consente a un attaccante non autenticato di eseguire codice da remoto sul dispositivo colpito.

La vulnerabilità è causata da un’elaborazione impropria dell’input utente in memoria. Un attaccante può sfruttare questa vulnerabilità inviando un messaggio creato ad hoc al dispositivo; in caso di successo, il bug consente all’aggressore di eseguire comandi arbitrari con privilegi base ed eventualmente elevarli a root per ottenere il controllo del dispositivo.

Le versioni vulnerabili dei prodotti sono le 11.5, 12.5.1 e 14 di Unified Communications Manager, Unified Communications Manager IM & Presence Service e di Unified Communications Manager Session Management Edition; a queste si aggiungono le versioni 12.5.1, 12.0 e precedenti di Unified Contact Center Express, le versioni 11.5.1, 12.5 1 e 14 di Unity Connection e le versioni 12.5.1, 12.5.2, 12.0 e precedenti di Virtualized Voice Browser.

La compagnia ricorda tuttavia che, nonostante questa soluzione si sia rivelata efficace negli ambienti di test, l’applicabilità e l’efficacie effettiva dipendono dal singolo ambiente. Il metodo indicato da Cisco deve essere comunque qualcosa di temporaneo in vista dell’aggiornamento dei prodotti.

Neanche due settimane fa Cisco aveva risolto un’altra vulnerabilità critica presente in Unity Connection: il bug consentiva a un attaccante non autenticato di caricare file malevoli sul sistema, eseguire comandi ed elevare i privilegi a quelli di root.

• Cisco, Contact Center, patch, RCE, Unified Communications, vulnerabilità