Breve
Cisco ha publicado una corrección para una vulnerabilidad crítica que se encuentra en su función de gestión de las reuniones de Cisco que podría permitir que un atacante lejano y autenticado ascienda a los privilegios del administrador en un dispositivo afectado.
Vulnerabilidad, seguida como CVE-2025-20156 (El puntaje CVSS de 9.9) se encuentra en la API REST y existe porque la “autorización apropiada” no se aplica a los usuarios de API REST. Si un atacante envía solicitudes de API especialmente diseñadas a un punto de terminación específico, podría usar vulnerabilidad y permitir que un atacante obtenga el control a nivel de administrador en los nodos administrados por la administración de las reuniones de Cisco.
El sistema de administración es vulnerable al error, independientemente de la configuración del dispositivo, dependiendo del consejo. Por lo tanto, cualquier persona que use Cisco Meeting Management 3.9 o antes debe migrar a una versión compatible para corregir el Buckt. Aquellos con la versión 3.9 deben ir a la versión 3.9.1; Y aquellos que tienen la versión 3.10 no se ven afectados. No hay derivación para abordar la vulnerabilidad.