Cis­co исправили критичную Arbi­trary File Upload / RCE уязвимость в Uni­ty Con­nec­tion (CVE-2024–20272). Cis­co Uni­ty Con­nec­tion это виртуализованная платформа обмена сообщениями и система голосовой почты. На официальном сайте пишут, что "Cis­co Uni­ty Con­nec­tion is high­ly secure". 😏

Неаутентифицированный удаленный злоумышленник может загружать произвольные файлы в уязвимую CUC систему и выполнять команды в базовой операционной системе. Также пишут, что злоумышленник может поднять привилегии до root‑а (подозреваю, что имеют ввиду, гипотетически, если загрузят руткит и запустят его). 🤔

Эксплуатации вживую и эксплоита пока нет, но если у вас вдруг всё ещё используется Cis­co Uni­ty Con­nec­tion (версии до 12.5.1.19017–4 и с 14 до 14.0.1.14006–5), имеет смысл пропатчиться.

CVSS странный: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L (Base 7.3)

Как при таком описании может быть Unchanged Scope и низкий импакт на конфиденциальность, целостность и доступность я не особо понимаю. 🤷‍♂️