行業新聞與博客

思科警告其會議管理工具中存在一個新的權限提升漏洞，該漏洞可能允許遠程攻擊者獲得暴露實例的管理員權限。

該漏洞 CVE-2025-20156 由思科於 1 月 22 日披露，正在等待美國國家漏洞數據庫 (NVD) 的進一步分析。

思科也在同一天發佈了安全公告，將該漏洞的嚴重性評分 (CVSS) 定為 9.9，這意味着它是一個嚴重漏洞。

思科會議管理 REST API 中的漏洞

NVD 表示，該漏洞涉及思科會議管理中不正確的默認權限和對權限不足的不當處理。

根據思科的建議，該漏洞是由於思科會議管理的表述性狀態轉移 (REST) 應用程序可編程接口 (API) 缺乏適當的授權造成的，思科會議管理是一套用於構建和與 Web 服務交互的規則和指南。

攻擊者可以通過向特定端點發送 API 請求來利用此漏洞，這可以允許攻擊者獲得對由思科會議管理管理的邊緣節點的管理員級別的控制權。

此漏洞影響所有思科會議管理實例，直至版本 3.9。較新的實例（例如思科會議管理版本 3.10）不受此漏洞影響。

思科產品安全事件響應團隊 (PSIRT) 尚未發現任何利用該漏洞的當前活動。

思科發佈修復版本更新

Cisco 已發佈修復軟件版本，Cisco Meeting Management 版本 3.9.1。

該軟件製造商表示，目前尚無解決該漏洞的解決方法，並敦促客户更新到此版本。

該提供商補充道：“直接從思科購買但沒有思科服務合同的客户，以及通過第三方供應商購買但未能通過其銷售點獲得修復軟件的客户，應聯繫思科技術援助中心 (TAC) 獲取升級。”

思科對 Modux 的 Ben Leonard-Lagarde 最初報告該漏洞表示感謝。