HABER ÖZETİ
Cisco Cisco Toplantı Yönetimi özelliğinde bulunan ve uzaktan, kimliği doğrulanmış bir saldırganın kendisini etkilenen bir cihazda yönetici ayrıcalıklarına yükseltmesine olanak verebilecek kritik bir güvenlik açığına yönelik bir yama yayımladı.
Şu şekilde izlenen güvenlik açığı: CVE-2025-20156 (CVSS puanı 9,9), REST API’de bulunur ve REST API kullanıcılarına “uygun yetkilendirme” uygulanmadığı için mevcuttur. Bir saldırganın belirli bir uç noktaya özel hazırlanmış API istekleri göndermesi durumunda, bu güvenlik açığından yararlanabilir ve saldırganın Cisco Meeting Management tarafından yönetilen uç düğümler üzerinde yönetici düzeyinde kontrol elde etmesine olanak tanıyabilir.
Öneriye göre, yönetim sistemi, cihaz yapılandırmasından bağımsız olarak hataya karşı savunmasızdır. Dolayısıyla, Cisco Meeting Management 3.9 veya önceki bir sürümünü kullanan herkesin, hatayı düzeltmek için desteklenen bir sürüme geçmesi gerekecektir. Sürüm 3.9’a sahip olanlar sürüm 3.9.1’e yükseltmelidir; ve 3.10 sürümüne sahip olanlar etkilenmeden kalır. Güvenlik açığını giderecek herhangi bir geçici çözüm yoktur.