「漏洞通告」Cisco Unified Contact Center Express反序列化代码执行(CVE-2020-3280)

近日,思科(Cisco)官方发布通告称修复了一个Unified Contact Center Express(Unified CCX)中的高危漏洞(CVE-2020-3280)。该漏洞源于软件在反序列化操作时,没有对用户提供的输入进行足够的限制,攻击者可以在未授权的情况下发送一个恶意的Java对象来触发该漏洞,在受影响设备上以root权限执行任意代码。

CVSS3.0 Base Score: 9.8 

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X

Cisco Unified Contact Center Express(Unified CCX)是美国思科(Cisco)公司的一款统一通信解决方案中的客户关系管理组件。该组件支持自助语音服务、呼叫分配和客户访问控制等功能。

受影响的设备

  • Cisco Unified CCX <= 12.0

不受影响的设备

  • Cisco Unified CCX 12.0(1)ES03
  • Cisco Unified CCX 12.5

解决方案

思科官方已经发布新版本修复了这些漏洞,请用户尽快升级进行防护。

详情参考思科官方通告指南:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-rce-GMSC6RKN

Meet The Author

Leave Comment