DFN-CERT-2025-1496 Cisco Unified Communications Produkte: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebiger Kommandos

DFN-CERT-2025-1496 Cisco Unified Communications Produkte: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebiger Kommandos

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (05.06.25):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen in verschiedenen Cisco Unified
Communications Produkten aus der Ferne ausnutzen, um beliebigen Programmcode
auszuführen und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Mehrere
weitere Schwachstellen ermöglichen einem Angreifer lokal das Ausführen
beliebigen Programmcodes.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien
erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines
Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss
auf andere Komponenten haben.

Zur Behebung der Schwachstelle CVE-2025-20273 in Cisco Unified Intelligent
Contact Management Enterprise werden derzeit keine Sicherheitsupdates
bereitgestellt, sondern die Behebung ist, ohne veröffentlichten Termin,
geplant. Die Schwachstelle CVE-2025-20275 im Cisco Unified Contact Center
Express (Unified CCX) Editor wird mit dem Cisco Unified CCX Release 15.0(1)
adressiert, wie auch die restlichen referenzierten Schwachstellen.
Die Schwachstelle CVE-2025-20278 besteht noch in mehreren weiteren Produkten
und wird mittels der Releases Finesse 12.6(2)ES6 und 15.0(1), Unified
Communications Manager (Unified CM), Unified Communications Manager Session
Management Edition (Unified CM SME), Unified Communications Manager IM &
Presence Service (Unified CM IM&P) und Unity Connection jeweils Version
15SU2 sowie Cisco Unified Intelligence Center 12.6(2)ES04 und 15.0(1)
behoben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2025-1496]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben