Cisco patcht kritische Lücke

24. Januar 2025 um 11:06
  • security
  • Lücke
  • Cisco
image
Foto: Sigmund / Unsplash

Eine Schwachstelle in Cisco Meeting Management könnte es einem entfernten, authentifizierten Angreifer ermöglichen, Admin-Rechte zu erlangen.

Cisco hat ein Security-Update für Cisco Meeting Management publiziert. Meeting Management ist ein Verwaltungstool für die On-Prem-Videokonferenzplattform Cisco Meeting Server.
Eine Schwachstelle (CVE-2025-20156) in der REST-API von Meeting Management könnte es einem authentifizierten Angreifer mit geringen Rechten aus der Ferne ermöglichen, seine Rechte auszuweiten. Die Lücke bestehe, weil den REST-API-Benutzern keine ordnungsgemässe Autorisierung auferlegt werde, erklärt Cisco in einem Security Advisory. Sie wird mit 9.9 von 10 Punkten auf der CVSS-Skala bewertet.
Ein Angreifer könnte die Schwachstelle ausnutzen, indem er API-Anfragen an einen bestimmten Endpunkt sendet, heisst es vom Unternehmen weiter. Eine erfolgreiche Ausführung würde es ermöglichen, Admin-Rechte für die von Cisco Meeting Management verwalteten Endgeräte zu erlangen.
Betroffen sind die Versionen 3.8 und früher sowie 3.9. Cisco hat Software-Updates veröffentlicht und empfiehlt, diese einzuspielen. Es gibt keine Workarounds.

Loading

Mehr zum Thema

image

Daten von Swissmem-Ausgleichskasse gestohlen

Die Ausgleichskasse des Verbandes der Schweizer Maschinen-, Elektro- und Metallindustrie wurde gehackt. Die Angreifer haben Server und Daten verschlüsselt.

publiziert am 4.2.2025
image

Kanton Zürich sucht Security-Expertise

Ein Expertenpool soll das Amt für Informatik bei der Umsetzung der Informations­sicherheitsrichtlinien unterstützen. Es geht um bis zu 7000 Arbeitstage.

publiziert am 4.2.2025
image

Erneuter Cyberangriff auf Winterthurer Top-Medien

Zum zweiten Mal innert Jahresfrist wurde das Medienhaus mit Ransomware attackiert. Der Sendebetrieb von Radio und Tele Top war beeinträchtigt.

publiziert am 3.2.2025
image

Swiss Cyber Security Days: Neue Technologien im Fokus

An zwei Tagen gibt es in über 100 Keynotes, Referaten und Panels Einblicke in die Welt der Cybersicherheit – von der Verteidigung und Strafverfolgung über Fragen zu KI und Quantensicherheit bis hin zum Schutz von Minderjährigen.

publiziert am 31.1.2025