Ejecución de código en remoto en Cisco Unified CCX
Las siguientes versiones de Cisco Unified CCX, independientemente de la configuración del dispositivo:
- 12.5 SU3 y anteriores;
- 15.0.
Jahmel Harris ha descubierto 2 vulnerabilidades de severidad crítica que podrían permitir a un atacante no autenticado y en remoto subir ficheros arbitrarios, esquivar la autenticación, ejecutar comandos arbitrarios y elevar privilegios a nivel de root.
Actualizar los productos a la siguiente versión:
- 12.5 SU3 ES07;
- 15.0 ES01.
- CVE-2025-20354: la vulnerabilidad se encuentra en el proceso Java Remote Method Invocation (RMI) de Cisco Unified CCX, ya que no emplea mecanismos de autenticación adecuados. Un atacante podría explotar esta vulnerabilidad subiendo un archivo manipulado en un sistema afectado a través del proceso RMI; lo que le permitiría ejecutar comandos arbitrarios en el sistema operativo del dispositivo y elevar sus privilegios a root.
- CVE-2025-20358: la vulnerabilidad se encuentra en la aplicación Editor de Contact Center Express (CCX) que carece de mecanismos de autenticación adecuados para comunicarse con el servidor Unified CCX. Un atacante podría explotar esta vulnerabilidad redirigiendo el flujo de autenticación a un servidor malicioso y engañando al Editor CCX para que crea que la autenticación fue satisfactoria. Si se explota con éxito un atacante podría crear y ejecutar scripts arbitrarios en el sistema operativo del dispositivo con una cuenta de no-root interna.
Las vulnerabilidades son independientes entre sí, no es necesario explotar una de ellas para poder explotar la otra.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.