Kritiek lek in Cisco Meeting Management gedicht
Cisco brengt software-updates uit om een kritieke beveiligingsfout in Meeting Management aan te pakken. Deze fout stelt kwaadwillenden in staat beheerderstoegang te verkrijgen op kwetsbare systemen.
De kwetsbaarheid is geïdentificeerd als CVE-2025-20156 en krijgt een CVSS-score van 9,9 op 10, waarmee het om een zeer kritiek lek gaat. Het gaat om een privilege-escalatie in de REST API van Cisco Meeting Management. Volgens Cisco ontstaat het probleem doordat de juiste autorisatie niet wordt afgedwongen bij REST API-gebruikers. Een aanvaller kan deze fout misbruiken door daarvoor geprepareerde API-verzoeken te versturen. Bij een succesvolle aanval kan de aanvaller beheerdersrechten verkrijgen over edge-nodes die door Cisco Meeting Management worden beheerd.
De volgende versies van Meeting Management zijn kwetsbaar:
- Cisco Meeting Management release 3.9 (gepatcht in versie 3.9.1)
- Cisco Meeting Management releases 3.8 en eerder (gebruikers moeten migreren naar een gepatchte versie).
Meer informatie is hier beschikbaar.
Meer over Security
Over Wouter Hoeffnagel
