思科UCCX关键漏洞允许攻击者以root权限执行命令

思科已发布安全更新，修复其统一联络中心Express（UCCX）软件中的一个关键漏洞，该漏洞可能使攻击者能够以root权限执行命令。

被追踪为CVE-2025-20354的安全漏洞由安全研究员Jahmel Harris在思科统一CCX的Java远程方法调用（RMI）过程中发现，允许未经认证的攻击者远程执行任意命令并获取root权限。

思科在周三的安全公告中解释称：“此漏洞是由于与特定思科统一CCX功能相关的身份验证机制不当导致的。攻击者可通过Java RMI进程向受影响系统上传特制文件来利用此漏洞。成功利用可能允许攻击者在底层操作系统上执行任意命令并将权限提升至root。”

昨日，思科还修复了思科UCCX中联络中心Express（CCX）编辑器应用程序的一个关键安全漏洞，该漏洞允许未经认证的攻击者远程绕过身份验证，并以管理员权限创建和执行任意脚本。

思科建议IT管理员尽快将其思科UCCX软件升级至下表中列出的已修复版本：

虽然这些漏洞会影响思科统一CCX软件（无论设备配置如何），但思科产品安全事件响应团队（PSIRT）尚未发现公开可用的漏洞利用代码证据，也未发现这两个关键安全漏洞在野外被利用。

周三，这家科技巨头还警告了一个影响其思科身份服务引擎（ISE）的高危漏洞（CVE-2025-20343），该漏洞允许未经认证的远程攻击者触发拒绝服务（DoS）条件，导致未打补丁的设备意外重启。

思科联络中心产品中的另外四个安全漏洞（CVE-2025-20374、CVE-2025-20375、CVE-2025-20376和CVE-2025-20377）可被具有高权限的攻击者利用来获取root权限、执行任意命令、访问敏感信息或下载任意文件。