思科UCCX漏洞允许远程攻击者执行任意代码

思科发布关键安全公告，针对其统一联络中心平台中的两个严重漏洞，这些漏洞可能使远程攻击者能够执行任意命令并获得未经授权的系统访问权限。

这些漏洞于2025年11月5日发布，需要运行思科统一联络中心系统的组织立即关注。

对CCX基础设施的关键威胁

这两个被指定为CVE-2025-20354和CVE-2025-20358的漏洞针对思科联络中心解决方案中的基本安全机制。两个漏洞的CVSS评分均超过9.0，属于严重严重性类别。

未经身份验证的攻击者利用这些弱点可能会在不需要有效凭据或用户交互的情况下破坏整个统一联络中心部署。

这些漏洞源于Java远程方法调用过程中的不当身份验证机制。该核心组件处理系统通信。

CVE-2025-20354允许攻击者通过RMI过程上传任意文件，并以root级别权限执行命令。这代表了最危险的场景，因为root访问权限授予对底层操作系统的完全控制。

CVE-2025-20358是CCX Editor应用程序中的身份验证绕过漏洞，使攻击者能够使用脚本管理的管理权限创建和执行恶意脚本。

这些漏洞影响思科统一联络中心12.5 SU3及更早版本，以及15.0及更早版本。使用这些版本的组织面临直接风险，应优先更新系统。

思科已发布修复这两个问题的补丁：运行思科统一联络中心12.5的客户应升级到12.5 SU3 ES07，而运行15.0的客户应更新到15.0 ES01。相关的思科联络中心产品，包括统一联络中心企业版和打包CCE，不受这些漏洞影响。

重要的是，思科透露不存在缓解这些缺陷的变通方案。这意味着组织无法实施临时防御措施，必须立即应用软件更新以消除暴露风险。

安全研究员Jahmel Harris发现并向思科产品安全事件响应团队报告了这些漏洞。目前，没有已知的公开漏洞利用或恶意实现，但这并不减少修补的紧迫性。

未经身份验证的远程访问要求、高影响结果和最低复杂性的结合使这些漏洞对试图破坏联络中心基础设施的威胁行为者特别有吸引力。

组织应验证其当前的思科统一联络中心软件版本，并立即应用适当的补丁。

该公告已通过思科官方安全渠道发布，为实施修复程序的安全团队提供了详细的技术规范。