思科TelePresence协作终端与RoomOS软件信息泄露漏洞
漏洞概述
咨询ID: cisco-sa-roomos-inf-disc-qGgsbxAm
首次发布: 2025年10月15日 16:00 GMT
版本: 1.0
状态: 最终版
工作组: 无可用解决方案
基本信息
- Cisco Bug ID: CSCwp08812
- CVE编号: CVE-2025-20329
- CWE分类: CWE-532(信息泄露)
- CVSS评分: 4.9(基础分)
- CVSS向量: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N/E:X/RL:X/RC:X
漏洞详情
漏洞描述
思科TelePresence协作终端(CE)和思科RoomOS软件的日志组件中存在一个漏洞,可能允许经过身份验证的远程攻击者在受影响系统上查看明文的敏感信息。要利用此漏洞,攻击者必须拥有有效的管理员凭据。
技术原理
该漏洞的存在是因为当启用SIP媒体组件日志记录时,某些未加密的凭据会被存储。攻击者可以通过访问受影响系统上的审计日志并获取通常无法访问的凭据来利用此漏洞。成功的利用可能允许攻击者使用这些凭据访问机密信息,其中一些可能包含个人可识别信息(PII)。
注意: 要访问存储在Webex云中或设备本身的日志,攻击者必须拥有有效的管理员凭据。
受影响产品
受影响产品
在发布时,如果思科设备运行以下软件的易受攻击版本并启用了SIP媒体组件的日志记录,则会受到此漏洞的影响:
- TelePresence CE
- 本地运营的RoomOS
- 基于云的云感知本地运营RoomOS
注意: 日志记录默认禁用。必须明确配置SIP媒体组件的日志记录。使用扩展日志记录时不会启用此功能。
确认不受影响的产品
仅本咨询的"受影响产品"部分列出的产品已知受此漏洞影响。
解决方案
修复软件
思科已发布修复此漏洞的软件更新。建议客户升级到本咨询中指示的修复软件。
修复版本信息:
| 思科TelePresence CE和RoomOS版本 | 本地运营的首个修复版本 | 云感知运营的首个修复版本 |
|---|---|---|
| 9 | 迁移到修复版本 | 迁移到修复版本 |
| 10 | 迁移到修复版本 | 迁移到修复版本 |
| 11 | 11.32.2.1 | RoomOS July 2025 |
版本说明: 对于9.15及更早版本,本地设备的软件称为思科TelePresence CE软件,云部署的软件称为思科RoomOS软件。对于版本10及更高版本,本地和云部署的软件都称为思科RoomOS软件。
其他信息
利用情况和公开声明
思科PSIRT不知道有任何关于此漏洞的公开声明或恶意利用。
漏洞来源
此漏洞是在内部安全测试期间发现的。
法律声明
本安全咨询提供了关于思科安全漏洞披露政策和发布的信息。客户应确保要升级的设备包含足够的内存,并确认当前的硬件和软件配置将继续得到新版本的适当支持。
本文档内容基于思科官方安全咨询翻译整理,仅供参考使用。