Cisco, Birleşik İletişim Merkezi Ekspres (Birleşik CCX) platformunu etkileyen iki kritik güvenlik açığını ayrıntılarıyla anlatan acil bir güvenlik danışma belgesi yayınladı. CVE-2025-20354 ve CVE-2025-20358 olarak tanımlanan kusurlar, kimliği doğrulanmamış uzak saldırganların rastgele kod yürütmesine, kimlik doğrulamayı atlamasına ve potansiyel olarak etkilenen sistemlere kök düzeyinde erişim elde etmesine olanak tanıyabilir.
Güvenlik açıkları, 5 Kasım 2025’te GMT 16:00’da yayınlanan cisco-sa-cc-unauth-rce-QeN8h7mQ adlı danışma belgesinde açıklandı. Cisco, her iki kusuru da sırasıyla 9,8 ve 9,4 CVSS temel puanıyla kritik olarak sınıflandırdı. Şirkete göre şu anda herhangi bir geçici çözüm mevcut değil, bu da yazılım güncellemelerini tek etkili çözüm haline getiriyor.
Güvenlik Açıklarının Ayrıntıları: 2025-20354 ve CVE-2025-20358
Cisco, sorunların Java Uzaktan Yöntem Çağırma (RMI) işleminde ve Unified CCX’in CCX Düzenleyici bileşenlerinde bulunduğunu doğruladı. Her iki güvenlik açığı da birbirinden bağımsızdır; yani birinin kullanılabilmesi için diğerinin kullanılmasına gerek yoktur.
CVE-2025-20354, belirli Unified CCX özelliklerindeki uygunsuz kimlik doğrulama mekanizmalarından kaynaklanan bir uzaktan kod yürütme güvenlik açığıdır. Kimliği doğrulanmamış uzaktaki bir saldırganın, kök ayrıcalıklarıyla rastgele dosyalar yüklemesine ve komutları yürütmesine olanak tanır. Bir saldırgan, Java RMI süreci aracılığıyla hazırlanmış bir dosya göndererek bu kusurdan yararlanabilir ve temeldeki işletim sisteminin tam denetimini etkili bir şekilde ele geçirebilir.
Cisco Hata Kimliği CSCwq36528 altında takip edilen bu güvenlik açığı, 9,8 CVSS puanı alarak en yüksek önem seviyeleri arasına yerleşti. Cisco, başarılı bir şekilde yararlanmanın, ayrıcalıkları root’a yükseltme yeteneği de dahil olmak üzere sistemin tamamen tehlikeye girmesine yol açabileceği konusunda uyardı.
İkinci kusur olan CVE-2025-20358, CCX Editor uygulamasını etkiliyor. Bu kimlik doğrulama atlama güvenlik açığı, CCX Düzenleyicisi’nin Unified CCX sunucusuyla iletişim kurma biçimindeki zayıflıklardan kaynaklanmaktadır. Bir saldırgan, kimlik doğrulamasını kötü amaçlı bir sunucuya yönlendirerek bu süreci manipüle edebilir ve sistemi yetkisiz erişimi kabul edecek şekilde aldatabilir.
Bu güvenlik açığından başarıyla yararlanılması halinde, bir saldırganın etkilenen ortamda kök olmayan bir hesap kullanarak rastgele komut dosyaları oluşturmasına ve yürütmesine olanak tanınabilir. Bu güvenlik açığı RCE kusurundan biraz daha az ciddi olsa da, 9,4 olan CVSS puanı onu hala kritik olarak sınıflandırıyor. Sorun, Cisco Hata Kimliği CSCwq36573 altında belgelenmiştir.
Etkilenen Ürünler ve Geçici Çözümler
Cisco, cihaz yapılandırmasından bağımsız olarak Unified CCX’in tüm sürümlerinin savunmasız olduğunu belirtti. Şirket, Paketlenmiş İletişim Merkezi Kuruluşu (Paketlenmiş CCE) ve Birleşik İletişim Merkezi Kuruluşu (Birleşik CCE) ürünlerinin CVE-2025-20354 veya CVE-2025-20358’den etkilenmediğini doğruladı.
Cisco’nun tavsiye belgesinde, bu güvenlik açıklarına yönelik herhangi bir geçici çözüm veya geçici hafifletici önlemin mevcut olmadığı belirtildi. Şirket, tek kalıcı çözüm olarak tüm müşterilerinin yeni yayımlanan yazılım güncellemelerini uygulamalarına önemle teşvik ediyor.
Kusurları tamamen gidermek için Cisco, aşağıdaki şekilde sabit sürümlere yükseltme yapılmasını önerir:
- Birleşik CCX 12.5 SU3 ES07 (ve önceki sürümler)
- Birleşik CCX 15.0 ES01
Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), sabit sürümleri doğruladı ve bunların gerekli yamaları içeren en eski yapılar olduğunu doğruladı.
Henüz Bilinen Bir İstismar Yok
Yayınlanma tarihi itibarıyla Cisco’nun PSIRT’i, CVE-2025-20354 veya CVE-2025-20358 ile ilgili kamuya açık istismar veya kötü amaçlı faaliyete dair hiçbir kanıt bildirmedi.
Ancak bu güvenlik açıklarının kritik doğası ve uzaktan saldırı vektörü göz önüne alındığında, güvenlik uzmanları, açıklanmadan hemen sonra istismar girişimlerinin ortaya çıkabileceği konusunda uyarıyor.
Cisco, güvenlik araştırmacısı Jahmel Harris’e itibar etti Sorunları sorumlu bir şekilde raporladığınız için. Şirketin bu onayı, kurumsal ortamların yüksek etkili siber tehditlerden korunmasında koordineli güvenlik açığı açıklamalarının önemini güçlendiriyor.