详细内容或原文请订阅后点击阅览
一个请求和其他人的文件已经在您的服务器内。黑客正在探测思科公司电话中的一个新漏洞
无需登录名和密码即可完全控制:看来真正的攻击指日可待。
来源:安全实验室新闻频道一个请求和其他人的文件已经在您的服务器内。黑客正在探测思科公司电话中的一个新漏洞
无需登录名和密码即可完全控制:看来真正的攻击指日可待。
人们已开始尝试利用用于企业电话的 Cisco Unified 服务器中的 CVE-2026-20230 漏洞。该错误允许远程攻击者无需登录即可强制服务器在操作系统上创建文件。随着攻击的进一步发展,攻击者可以获得root权限,即对设备的完全控制。
思科于 6 月 3 日发布了更新,并将该问题的 CVSS 等级评定为 8.6。该漏洞影响 Unified Communications Manager 和 Unified Communications Manager 会话管理版本。这两个系统都负责管理公司电话基础设施内的呼叫和路由呼叫。
该错误存在于 WebDialer 组件中,该组件可帮助用户通过浏览器和应用程序发起呼叫。 WebDialer 接受来自用户的地址,但不严格检查某些 HTTP 请求。攻击者可以发送特制请求并导致服务器将本地文件路径视为有效地址。
这种攻击称为 SSRF 攻击,或服务器端请求伪造。通常,SSRF 用于强制服务器访问攻击者选择的地址处的资源。对于CVE-2026-20230,该错误不仅允许访问本地路径,还允许将具有指定内容的文件写入操作系统。
一个文件条目并不意味着完全接管服务器。但是,攻击者可以准备一个文件,稍后可以使用提升的权限执行该命令。思科警告称,成功利用该漏洞可能会导致权限升级。在这种情况下,黑客将有权访问电话系统设置、日志、服务数据和管理员可用的其他资源。