行业新闻与博客

思科警告其会议管理工具中存在一个新的权限提升漏洞，该漏洞可能允许远程攻击者获得暴露实例的管理员权限。

该漏洞 CVE-2025-20156 由思科于 1 月 22 日披露，正在等待美国国家漏洞数据库 (NVD) 的进一步分析。

思科也在同一天发布了安全公告，将该漏洞的严重性评分 (CVSS) 定为 9.9，这意味着它是一个严重漏洞。

思科会议管理 REST API 中的漏洞

NVD 表示，该漏洞涉及思科会议管理中不正确的默认权限和对权限不足的不当处理。

根据思科的建议，该漏洞是由于思科会议管理的表述性状态转移 (REST) 应用程序可编程接口 (API) 缺乏适当的授权造成的，思科会议管理是一套用于构建和与 Web 服务交互的规则和指南。

攻击者可以通过向特定端点发送 API 请求来利用此漏洞，这可以允许攻击者获得对由思科会议管理管理的边缘节点的管理员级别的控制权。

此漏洞影响所有思科会议管理实例，直至版本 3.9。较新的实例（例如思科会议管理版本 3.10）不受此漏洞影响。

思科产品安全事件响应团队 (PSIRT) 尚未发现任何利用该漏洞的当前活动。

思科发布修复版本更新

Cisco 已发布修复软件版本，Cisco Meeting Management 版本 3.9.1。

该软件制造商表示，目前尚无解决该漏洞的解决方法，并敦促客户更新到此版本。

该提供商补充道：“直接从思科购买但没有思科服务合同的客户，以及通过第三方供应商购买但未能通过其销售点获得修复软件的客户，应联系思科技术援助中心 (TAC) 获取升级。”

思科对 Modux 的 Ben Leonard-Lagarde 最初报告该漏洞表示感谢。