Cisco je objavio zakrpe za kritičnu ranjivost eskalacije privilegija u upravljanju sastancima (CVE-2025-20156) i grešku prekoračenja bafera baziranu na hrpi (CVE-2025-20128) koja bi, kada se pokrene, mogla prekinuti ClamAV proces skeniranja na krajnjim tačkama koje pokreću Cisco Secure Endpoint Connector.
Dostupan je kod za provjeru koncepta (PoC) za CVE-2025-20128, rekao je Cisco, ali kompanija nije svjesna ranjivosti koja se iskorištava u divljini. Zasluge za prijavljivanje greške pripisane su OSS-Fuzz , Google-ovom kontinuiranom fuzzing programu za softver otvorenog koda, što znači da je malo vjerovatno da će PoC uskoro završiti na mreži.
Ipak, korisnicima se savjetuje da implementiraju sigurnosna ažuriranja što je prije moguće.
O CVE-2025-20156
Cisco Meeting Management je alat za nadgledanje i upravljanje sastancima koji rade na Cisco Meeting Serveru, lokalnoj platformi za video sastanke kompanije.
CVE-2025-20156 postoji jer se odgovarajuća autorizacija ne primjenjuje na korisnike REST API-ja rješenja. Ovu slabost mogu koristiti udaljeni, autentifikovani napadači sa niskim privilegijama da podignu privilegije do administratora na pogođenom uređaju, jednostavnim slanjem API zahtjeva na određenu krajnju tačku.
“Uspješno iskorištavanje moglo bi omogućiti napadaču da dobije kontrolu na nivou administratora nad rubnim čvorovima kojima upravlja Cisco Meeting Management,” objasnio je Cisco .
Ranjivost utiče na Cisco Meeting Management verzije 3.9 i 3.8 i starije, i ne utiče na verziju 3.10. Budući da ne postoji dostupno rješenje, administratori bi trebali izvršiti nadogradnju na fiksnu verziju (3.9.1) ili na onu bez utjecaja (3.10).
CVE-2025-20156 je prijavio Ben Leonard-Lagarde iz Bristolske pentesting jedinice Modux.
O CVE-2025-20128
CVE-2025-20128 je greška za overflow bafera gomile u OLE2 raščlanjivanju datoteka koji koristi ClamAV, komplet alata otvorenog koda za zaštitu od malicioznog softvera koji održava Ciscovo odeljenje za cyber sigurnost Talos.
„Napadač bi mogao da iskoristi [CVE-2025-20128] tako što će poslati kreiranu datoteku koja sadrži OLE2 sadržaj da bi ga ClamAV skenirao na zahvaćenom uređaju. Uspješno iskorištavanje moglo bi omogućiti napadaču da prekine ClamAV proces skeniranja, što bi rezultuje DoS stanjem na pogođenom softveru,” objasnio je Cisco .
Ranjivost je ispravljena u verzijama 1.4.2 i 1.0.8 ClamAV-a, ali pošto ClamAV koriste različita softverska rješenja Cisco, popravka se mora širiti.
Kompanija je potvrdila da njeni Secure Email Gateways i Secure Web Appliances nisu pogođeni, ali Cisco Secure Endpoint Connectors za Windows, Linux i macOS – distribuirani iz Cisco Secure Endpoint Private Cloud – su i svi bi trebali biti nadograđeni na fiksno izdanje: 7.5.20 ili 8.4.31 (za Windows), 1.25.1 (za Linux), 1.24.4 (za macOS).
Cisco Secure Endpoint Private Cloud nije pogođen, ali bi trebao biti na verziji 4.2.0, sa ažuriranim konektorima.
„Ažurirana izdanja Cisco Secure Endpoint Connector dostupna su preko Cisco Secure Endpoint portala. U zavisnosti od konfigurisane politike, Cisco Secure Endpoint Connector će se automatski ažurirati“, kaže Cisco.
“Pogođene verzije klijenata Cisco Secure Endpoint Connector za Cisco Secure Endpoint Private Cloud ažurirane su u spremištu konektora. Korisnici će dobiti ova ažuriranja konektora kroz normalne procese ažuriranja sadržaja.”
Izvor: Help Net Security