Cisco Unified CCX – krytyczne luki bezpieczeństwa
CSIRT CeZ ostrzega: w systemach Cisco Unified CCX wykryto podatności umożliwiające zdalne wykonanie kodu bez uwierzytelnienia. Luka dotyczy wersji 12.5 SU3 i starszych oraz 15.0. Zalecana jest natychmiastowa aktualizacja ze względu na brak obejść.
- oznaczenie: CVE-2025-20354, score CVSS: 9,8 Critical
- oznaczenie: CVE-2025-20358, score CVSS: 9,4 Critical
- wpływ: zdalne wykonanie kodu
Opis podatności
Wykryto krytyczne podatności w zabezpieczeniach procesu Java Remote Method Invocation (RMI) w programie Cisco Unified Contact Center Express (Unified CCX) - niezależnie od konfiguracji urządzenia.
Podatności umożliwiają:
- zdalnym nieuwierzytelnionym atakującym na przesyłanie dowolnych plików
- wykonywanie poleceń z uprawnieniami roota lub omijanie uwierzytelniania, aby uruchomić skrypty jako użytkownik nie będący rootem.
Producent oprogramowania twierdzi, że nie posiada wiedzy o żadnych rzeczywistych atakach wykorzystujących powyższe podatności.
Firma Cisco potwierdziła, że te luki nie dotyczą następujących produktów Cisco:
- Packaged Contact Center Enterprise (Packaged CCE)
- Unified Contact Center Enterprise (Unified CCE)
Podatne systemy
Luka dotyczy Cisco Unified CCX w wersji:
- 12.5 SU3 i starszych
- 15.0
Działania zapobiegawcze
Zalecamy zaktualizowanie Cisco Unified CCX do wersji 12.5 SU3 ES07 lub 15.0 ES01. Na ten moment nie ma dostępnych obejść, które pozwoliłoby wyeliminować luki.
Źródła
Ponadto przypominamy o aktywnie wykorzystywanych podatnościach związanych z produktami firmy Cisco CVE-2025-20333, CVE-2025-20362, CVE-2025-20363 Cisco Secure Firewall Adaptive Security Appliance (ASA) i Cisco Secure Firewall Threat Defense (FTD), o których informowaliśmy na naszej stronie.