思科已修复 Unity Connection 中的一个严重漏洞，该漏洞可能允许未经身份验证的攻击者远程获取未修补设备上的root访问权限。Unity Connection 是思科统一通信产品套件中包含的消息传递平台和语音邮件系统。

 漏洞 CVE-2024-20272 （CVSS 评分：7.3）是由于特定API 中缺乏身份验证以及对用户提供的数据验证不当造成的。该漏洞是在 Unity Connection Web 管理界面中发现的，允许网络犯罪分子在底层操作系统上执行命令、在目标系统上下载和存储任意文件以及将权限升级为 root。

该漏洞影响 Cisco Unity Connection 的以下版本：

•  12.5 及更早版本（在版本 12.5.1.19017-4 中修复）；
• 4（在版本 14.0.1.14006-5 中修复）。

思科产品安全事件响应团队（PSIRT）表示，该公司没有证据表明该漏洞正在被广泛利用，但建议用户更新到已修补的版本以减少潜在威胁。