近日,思科(Cisco)官方发布通告称修复了一个Unified Contact Center Express(Unified CCX)中的高危漏洞(CVE-2020-3280)。该漏洞源于软件在反序列化操作时,没有对用户提供的输入进行足够的限制,攻击者可以在未授权的情况下发送一个恶意的Java对象来触发该漏洞,在受影响设备上以root权限执行任意代码。
CVSS3.0 Base Score: 9.8
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X
Cisco Unified Contact Center Express(Unified CCX)是美国思科(Cisco)公司的一款统一通信解决方案中的客户关系管理组件。该组件支持自助语音服务、呼叫分配和客户访问控制等功能。
受影响的设备
- Cisco Unified CCX <= 12.0
不受影响的设备
- Cisco Unified CCX 12.0(1)ES03
- Cisco Unified CCX 12.5
解决方案
思科官方已经发布新版本修复了这些漏洞,请用户尽快升级进行防护。
详情参考思科官方通告指南:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-rce-GMSC6RKN