Критическая ошибка CVE-2024-20272 в Unity Connection позволяет получить root-права без пароля

Cisco исправила критическую уязвимость в Unity Connection, которая позволяет неаутентифицированному злоумышленнику удаленно получать root-права на неисправленных устройствах. Unity Connection — платформа обмена сообщениями и система голосовой почты, входящая в набор продуктов Cisco Unified Communications.

Уязвимость CVE-2024-20272 (оценка CVSS: 7.3) связана с отсутствием аутентификации в конкретном API и неправильной проверкой данных, предоставленных пользователем. Ошибка была обнаружена в веб-интерфейсе управления Unity Connection и позволяет киберпреступнику выполнять команды в базовой операционной системе, загружать и хранить произвольные файлы в целевой системе, а также повышать привилегии до root.

Уязвимость затрагивает следующие версии Cisco Unity Connection:

• 12.5 и более ранние версии (исправлено в версии 12.5.1.19017-4);
• 14 (исправлено в версии 14.0.1.14006-5).

Группа реагирования на инциденты безопасности продуктов Cisco (Product Security Incident Response Team, PSIRT) заявила, что у компании нет доказательств активного использования уязвимости в реальных условиях, но рекомендует пользователям обновиться до исправленной версии, чтобы снизить потенциальные угрозы.