思科修复关键UCCX漏洞，请立即安装补丁！(CVE-2025-20358, CVE-2025-20354)

思科已修复影响统一联系中心Express（UCCX）的两个关键漏洞（CVE-2025-20358, CVE-2025-20354），攻击者可能利用这些漏洞绕过身份验证、入侵易受攻击的安装并提升权限至root。

好消息是目前没有证据表明这些漏洞已被攻击者利用。但由于没有可用的临时解决方案，建议更新到修复版本。

CVE-2025-20358和CVE-2025-20354及其他漏洞的修复

思科UCCX是一款专为中小型部署（最多约400个坐席）设计的联系中心软件解决方案。

CVE-2025-20358源于关键功能缺少身份验证：CCX Editor与受影响的统一CCX服务器之间的通信。

思科解释称：“[未经身份验证的远程]攻击者可通过将身份验证流程重定向到恶意服务器，并欺骗CCX Editor使其相信身份验证已成功，从而利用此漏洞。”

“成功利用可能允许攻击者在受影响的统一CCX服务器底层操作系统上创建并执行任意脚本，权限为内部非root用户账户。”

CVE-2025-20354影响思科UCCX的Java远程方法调用（RMI）进程，可能允许未经身份验证的远程攻击者通过Java RMI进程将特制文件上传到受影响系统，并在受影响系统上以root权限执行任意命令。

思科表示：“利用其中一个漏洞并不需要先利用另一个漏洞。”

这些漏洞由安全研究员Jahmel Harris私下披露给思科。

它们影响思科UCCX v15.0和v12.5 SU3及更早版本，无论设备配置如何，已在v15.0 ES01和v12.5 SU3 ES07中修复。

这些最新版本还修复了其他需要攻击者拥有有效管理凭据才能利用的漏洞。