A Cisco lançou correções para uma falha de segurança crítica que afeta os produtos Unified Communications e Contact Center Solutions. Essa falha, identificada como CVE-2024-20253 e com uma pontuação CVSS de 9.9, é causada pelo processamento inadequado de dados fornecidos pelo usuário.

Um atacante poderia explorar essa vulnerabilidade enviando uma mensagem especialmente elaborada para uma porta de escuta de um dispositivo suscetível. Um exploit bem-sucedido permitiria ao atacante executar comandos arbitrários no sistema operacional subjacente com os privilégios do usuário dos serviços web.

Com acesso ao sistema operacional subjacente, o atacante também poderia estabelecer acesso root no dispositivo afetado. Não há soluções alternativas para essa falha, mas a Cisco está instando os usuários a configurar listas de controle de acesso para limitar o acesso onde a aplicação das atualizações não é imediatamente possível.

A empresa recomenda estabelecer listas de controle de acesso em dispositivos intermediários que separam o cluster de Soluções de Comunicações Unificadas ou Centro de Contato da Cisco dos usuários e do restante da rede, permitindo acesso apenas às portas dos serviços implantados.