Haber
Cisco Cisco Toplantı Yönetimi özelliğinde bulunan, uzak, kimlik doğrulamalı bir saldırganın etkilenen bir cihazdaki yönetici ayrıcalıklarına yükseltmesine izin verebilecek kritik bir güvenlik açığı için bir yama yayınladı.
Cisco Toplantı Yönetimi, Cisco’nun şirket içi toplantı platformu Cisco Toplantı Sunucusu için bir yönetim aracıdır. Yönetim sistemi, kullanıcıların platformda çalışan toplantıları iki kullanıcı rolü aracılığıyla izlemelerine ve yönetmelerine olanak tanır: ilki, platform üzerinde tam dizginli yöneticiler içindir; İkincisi, yalnızca toplantılara ve genel bakış sayfalarına erişimi olan “Video Operatörleri” içindir.
Güvenlik açığı, CVE-2025-20156 (CVSS puanı 9.9), geri kalan API’da bulunur ve “uygun yetkilendirme” dinlenme API kullanıcılarında uygulanmadığı için mevcuttur. Bir saldırgan belirli bir uç noktaya özel olarak hazırlanmış API istekleri gönderirse, güvenlik açığından yararlanabilir ve bir saldırganın Cisco Toplantı Yönetimi tarafından yönetilen kenar düğümleri üzerinde yönetici düzeyinde kontrol kazanmasına izin verebilir.
Platformda video operatör erişimi olan bir tehdit aktörü, kendilerine yönetici ayrıcalıkları vermek için bu güvenlik açığını kullanabilir ve danışmanlığa göre yapılandırmaları değiştirme, kullanıcılar ekleme ve daha fazlasını sağlayabilmelerini sağlayabilir.
Danışmanlığa göre, yönetim sistemi cihaz yapılandırmasından bağımsız olarak hataya karşı savunmasızdır. Bu nedenle, Cisco Toplantı Yönetimi 3.9 veya daha önce kullanan herkesin hatayı düzeltmek için desteklenen bir sürüme geçmesi gerekir. 3.9 sürümüne sahip olanlar, 3.9.1 sürümüne yükseltilmelidir; Ve 3.10 sürümüne sahip olanlar etkilenmez. Güvenlik açığını ele alacak hiçbir geçici çözüm yoktur.
