行業新聞與部落格

思科警告其會議管理工具中存在一個新的許可權提升漏洞，該漏洞可能允許遠端攻擊者獲得暴露例項的管理員許可權。

該漏洞 CVE-2025-20156 由思科於 1 月 22 日披露，正在等待美國國家漏洞資料庫 (NVD) 的進一步分析。

思科也在同一天釋出了安全公告，將該漏洞的嚴重性評分 (CVSS) 定為 9.9，這意味著它是一個嚴重漏洞。

思科會議管理 REST API 中的漏洞

NVD 表示，該漏洞涉及思科會議管理中不正確的預設許可權和對許可權不足的不當處理。

根據思科的建議，該漏洞是由於思科會議管理的表述性狀態轉移 (REST) 應用程式可程式設計介面 (API) 缺乏適當的授權造成的，思科會議管理是一套用於構建和與 Web 服務互動的規則和指南。

攻擊者可以透過向特定端點發送 API 請求來利用此漏洞，這可以允許攻擊者獲得對由思科會議管理管理的邊緣節點的管理員級別的控制權。

此漏洞影響所有思科會議管理例項，直至版本 3.9。較新的例項（例如思科會議管理版本 3.10）不受此漏洞影響。

思科產品安全事件響應團隊 (PSIRT) 尚未發現任何利用該漏洞的當前活動。

思科釋出修復版本更新

Cisco 已釋出修復軟體版本，Cisco Meeting Management 版本 3.9.1。

該軟體製造商表示，目前尚無解決該漏洞的解決方法，並敦促客戶更新到此版本。

該提供商補充道：“直接從思科購買但沒有思科服務合同的客戶，以及透過第三方供應商購買但未能透過其銷售點獲得修復軟體的客戶，應聯絡思科技術援助中心 (TAC) 獲取升級。”

思科對 Modux 的 Ben Leonard-Lagarde 最初報告該漏洞表示感謝。