Cisco corrige falha de segurança crítica do Unity Connection

A Cisco procedeu à correção de uma falha de segurança do Unity Connection, uma solução de mensagens e correio de voz, totalmente virtualizada, indicada para caixas de entrada de email, navegadores web, Cisco Jabber, Cisco Unified IP Phone, smartphones ou tablets com elevada disponibilidade.

A vulnerabilidade, rastreada como CVE-2024-20272, foi detetada na interface de gestão do software web e permite que os invasores executem comandos no sistema operacional subjacente através do carregamento de arquivos arbitrários para sistemas vulneráveis. Os agentes de ameaça não autenticados podem, desta forma, obter remotamente privilégios de root em dispositivos sem patch.

De acordo com a Cisco, a vulnerabilidade em causa teve origem na “falta de autenticação numa API específica” e na “validação inadequada dos dados fornecidos pelo utilizador”. 

Até ao momento, e de acordo com a Equipa de Resposta a Incidentes de Segurança de Produto da Cisco, não existem evidências de explorações públicas de prova de conceito ou exploração ativa para esta vulnerabilidade.

A Cisco procedeu ainda à correção de dez vulnerabilidades de segurança de média gravidade em vários produtos, nomeadamente a vulnerabilidade de injeção de comando rastreada como CVE-2024-20287 na interface de gestão de web do WAP371 Wireless Access Point da Cisco. No entanto, este dispositivo não terá atualizações do firmware, uma vez que atingiu o fim de vida útil em junho de 2019. Neste caso, a empresa aconselha os clientes com este dispositivo a migrarem para o Cisco Business 240AC Access Point.