CVE-2020-3280 | Cisco Unified CCX远程代码实行漏洞通告

发布时间 2020-05-22

0x00 漏洞概述



0x01 漏洞详情



Cisco Unified Contact Center Express(Unified CCX)是美国思科(Cisco)企业的一款统一通信解决方案中的客户关系管理组件。该组件支撑自助语音服务、呼叫分配和客户访问控制等功能。

2020年5月20日思科(Cisco)官方发布通告,修复了一个Unified Contact Center Express(Unified CCX)中的严重漏洞(CVE-2020-3280)。该漏洞源于Cisco Unified CCX 在实行反序列化操作时,Java远程管理界面没有对用户输入进行验证,导致攻击者可以在未授权的情况下发送一个恶意的Java对象,并在受影响设备上以root权限实行任意代码。


0x02 处置建议


思科官方已经发布新版本修复了这些漏洞,请相关用户尽快升级进行防护,其中CiscoUnified CCX 12.0(1)ES03和Cisco Unified CCX 12.5版本不受该漏洞影响。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-rce-GMSC6RKN


0x03 相关资讯


https://www.zdnet.com/article/cisco-critical-java-flaw-strikes-call-center-in-a-box-patch-urgently/#ftag=RSSbaffb68


0x04 参考链接


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-rce-GMSC6RKN


0x05 时间线


2020-05-20 Cisco官方发布通告

2020-05-22 VSRC发布漏洞通告