Laburpen exekutiboa
Cisco Unified Communications Manager eta Cisco Unified Communications Manager Session Management Edition-en ahultasun larri bat (10.0 CVSS puntuazioa) detektatu da. Akats honek autentifikaziorik gabeko erasotzaile bati root kontuaren bidez kudeatutako gailu batean sartzeko aukera ematen du, zeinaren kredentzial estatikoak ezin diren aldatu edo kendu. Erabiltzaile kredentzial estatiko hauen iraunkortasunagatik, erasotzaile batek ahultasuna ustekabean erabili ahal luke sistema sartu eta root pribilegioak dituen komando arbitrarioak exekutatzeko. Bere larritasunagatik, beharrezkoa da ahultasun hau berehala kudeatu eta arintzea.
Eragindako baliabideak
- Cisco Unified Communications Manager (Unified CM) (ES bertsioak 15.0.1.13010-1etik 15.0.1.13017-1era)
- Cisco Unified Communications Manager Session Management Edition (Unified CM SME) (ES bertsioak 15.0.1.13010-1etik 15.0.1.13017-1era)
Azterketa teknikoa
- CVE-2025-20309: Cisco Unified Communications Manager (Unified CM) eta Cisco Unified Communications Manager Session Management Edition (Unified CM SME) -en ahultasun bat autentifikaziorik gabeko erasotzaile bati root kontua erabiliz kudeatutako gailu batean sartzeko aukera ematen dio, zeinak lehenetsitako kredentzial estatikoak dituen, ezin direnak aldatu edo kendu. Ahultasun hau root kontuaren erabiltzaile kredentzial estatikoak garapenean erabiltzeko erreserbatuta daudela eta horrek eragiten du. Erasotzaileak ahultasun hau ustekabean erabili ahal luke sistema kudeatutakoan sartzeko. Explotazio arrakastatsua erasotzaileari sistema kudeatutakoan sartzeko eta root erabiltzaile gisa komando arbitrarioak exekutatzeko aukera emango lioke.
- CWE-798
- CVSS: 10.0 (kritikoa)
- CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Explotazioa: Ez da detektatu
Arintzea/Konponbidea
Cisco-k softwarea eguneratzea gomendatzen du Cisco Unified Communications Manager eta Cisco Unified Communications Manager Session Management Edition-en ahultasuna arintzeko. Ez dira alternatiba soluzioak ematen arazo honetarako. Software eguneraketa regularrekiko kontratuak dituzten bezeroek segurtasun zuzenketak ohiko eguneraketa bideetatik lortu behar dituzte. Bezeroek software bertsio eta ezaugarri multzoentzat bakarrik instalatu eta laguntza espero dezakete, zeinetarako lizentzia erosi duten. Cisco-k doako eguneraketa bat argitaratu du ahultasun hau kudeatzeko. Cisco-ren zerbitzu kontraturik ez duten bezeroentzat, Cisco-ren Laguntza Tekniko Zentroarekin (TAC) harremanetan jarri behar dute beharrezko eguneraketak lortzeko. Zure sistema ahultasunagatik eraginda dagoen jakiteko, ikusi Cisco-ren segurtasun abisuan emandako Konpromiso Adierazleak.