思科敦促用户立即采取安全措施。

思科 发布了更新 ，以解决影响统一通信和联络中心产品的一个严重漏洞，该漏洞可能允许未经身份验证的远程攻击者在目标设备上执行任意代码。

该问题编号为 CVE-2024-20253（CVSS 评分：9.9），涉及对用户提供的数据的不当处理，攻击者可能会滥用这些数据向受影响设备的侦听端口发送特制消息。

成功利用该漏洞后，用户可以使用 Web 服务用户权限在底层操作系统上执行任意命令。通过访问底层操作系统，网络犯罪分子还可以获得受影响设备的 根访问权限。

该漏洞的发现和报告归功于Synacktiv安全研究员Julien Egloff。该错误影响以下产品：

• 统一通信管理器（版本 11.5、12.5(1) 和 14）；
• Unified Communications Manager IM & Presence 服务（版本 11.5(1)、12.5(1) 和 14）；
• Unified Communications Manager 会话管理版（版本 11.5、12.5(1) 和 14）；
• Unified Contact Center Express（版本 12.0 及更早版本和 12.5(1)）；
• Unity Connection（版本 11.5(1)、12.5(1) 和 14）；
• 虚拟语音浏览器（版本 12.0 及更早版本、12.5(1) 和 12.5(2)）。

虽然没有解决方法，但思科鼓励用户配置访问控制列表，以限制无法立即应用更新的访问。思科建议在中间设备上创建访问控制列表 (ACL)，将思科统一通信或思科联络中心解决方案集群与用户和网络的其余部分分开，以仅允许访问已部署服务的端口。