多个思科统一CCX漏洞使攻击者能够执行任意命令

思科披露了影响思科统一联络中心 Express（Unified CCX）的关键安全漏洞，未经身份验证的远程攻击者可利用这些漏洞执行任意命令、将权限提升至 root，并绕过身份验证机制。

这些漏洞存在于 Java 远程方法调用 (RMI) 进程和 CCX Editor 应用程序中，给企业联络中心部署带来了严重风险。

已识别的漏洞

在思科统一 CCX 系统中发现了两个关键漏洞。第一个漏洞是 CVE-2025-20354，这是 Java RMI 进程中的一个远程代码执行漏洞，CVSS 基础评分为 9.8。该漏洞允许未经身份验证的攻击者通过利用不当的身份验证机制，通过 Java RMI 进程上传任意文件。成功利用可使攻击者在底层操作系统上执行任意命令，并将权限提升至 root，从而获得完全的系统破坏能力。

第二个漏洞是 CVE-2025-20358，这是 CCX Editor 应用程序中的一个身份验证绕过漏洞，CVSS 基础评分为 9.4。该漏洞允许攻击者绕过身份验证，获取与脚本创建和执行相关的管理权限。该漏洞源于 CCX Editor 与受影响的统一 CCX 服务器之间通信中的不当身份验证机制。攻击者可以通过将身份验证流重定向到恶意服务器来利用此漏洞，诱骗 CCX Editor 接受欺诈性身份验证。成功利用可使攻击者以内部非 root 用户帐户在受影响系统上创建和执行任意脚本。

影响范围

无论设备配置如何，这些漏洞都会影响思科统一 CCX 系统。思科已确认 Packaged Contact Center Enterprise (Packaged CCE) 和 Unified Contact Center Enterprise (Unified CCE) 不受这些问题影响。这两个漏洞彼此独立，这意味着攻击者无需串联利用链即可获得访问权限。

缓解措施与建议

思科已发布修复这两个漏洞的软件更新，目前没有可用的变通方案。组织应优先立即升级到已打补丁的版本。

• 对于统一 CCX 版本 12.5，受影响的系统应升级到版本 12.5 SU3 ES07 或更高版本。
• 对于统一 CCX 版本 15.0，修复程序在版本 15.0 ES01 及后续版本中可用。

鉴于这些漏洞的关键性质以及完全缺乏变通方案，思科强烈建议立即为所有受影响系统打补丁。在 12.5 SU3 或 15.0 之前版本上运行的系统应被视为在其当前状态下存在被破坏的风险。

截至目前，思科的产品安全事件响应团队 (PSIRT) 报告没有证据表明这些漏洞存在公开公告或活跃的恶意利用。然而，利用的简易性（仅需要网络访问，无需身份验证）加上严重的后果（以 root 权限远程执行代码），表明一旦补丁采用时间延长，这些漏洞很可能会吸引威胁行为者的注意。

运行思科统一 CCX 的组织应立即根据漏洞详情核实其当前软件版本，并应用适当的补丁。系统管理员应优先修补面向互联网暴露的系统。此外，在网络分段和访问控制方面，将 RMI 通信限制在受信任的网络中，可在部署补丁之前提供临时的防御措施。鉴于关键的 CVSS 评分以及这些漏洞带来的完全破坏潜力，所有受影响的部署都需要采取紧急行动。