思科修复关键漏洞：攻击者可完全控制呼叫中心服务器

星期四 2025年11月6日, 11:47 由编辑部发布, 0条评论

思科已发布针对统一联络中心Express（UCCX）中关键漏洞的安全更新，未经身份验证的攻击者可通过该漏洞远程获取系统完全控制权。UCCX是思科面向中小企业搭建呼叫中心的解决方案。该软件包含两个关键漏洞，编号分别为CVE-2025-20354和CVE-2025-20358。

两个漏洞中危害最严重的是CVE-2025-20354。通过此安全漏洞，未经身份验证的攻击者可以上传任意文件，随后在UCCX服务器上以root权限执行任意命令。据思科表示，该问题是由身份验证机制不足导致的。该漏洞的影响程度按1到10分评级达到9.8分。

另一个漏洞CVE-2025-20358，使攻击者能够以管理员权限在UCCX服务器上执行任意脚本。此安全漏洞的影响评分为9.4分。思科表示尚未发现这些漏洞被主动利用的情况，并呼吁客户安装已提供的安全更新。