V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CiscoОперационная системаbdu,nvd

Unified Contact Center Express

Уязвимости
54
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.99999

Распределение по критичности

Критический
10
Высокий
17
Средний
27
Низкий
0

Затронутые диапазоны версий

11.6–11.6\(1\)12.0–12.0\(1\)es03< 11.6\(2\)< 11.6\(2\)es04< 12.5\(1\)< 12.5\(1\)_su03_es07< 12.5\(1\)_su2_es05< 12.5\(1\)su3≤ 12.0\(1\)≤ 12.5\(1\)
Также сопоставлено как (исходные строки): finesse,paging_server,video_surveillance_operations_manager,advanced_malware_protection_virtual_private_cloud_appliance,unified contact center express,unified_contact_center_express,unified_ip_interactive_voice_response,unified_contact_center_enterprise,crosswork_zero_touch_provisioning,network_assurance_engine,unified_intelligence_center,packaged_contact_center_enterprise

Топ уязвимостей

CVE-2024-20253Уязвимость в нескольких продуктах Cisco Unified Communications и Contact Center Solutions может позволить неаутентифицированному удаленному злоумышленнику выполнить произвольный код на затронутом устройстве. Эта уязвимость связана с неправильной обработкой предоставленных пользователем данных, которые считываются в память. Злоумышленник может использовать эту уязвимость, отправив специально созданное сообщение на прослушиваемый порт затронутого устройства. Успешная эксплуатация может позволить злоумышленнику выполнить произвольные команды в базовой операционной системе с привилегиями пользователя веб-служб. Имея доступ к базовой операционной системе, злоумышленник также может установить root-доступ на затронутом устройстве.
CVE-2025-20358Выполнение произвольного кода в Cisco Unified Contact Center Express
CVE-2025-20354Выполнение произвольного кода в Cisco Unified Contact Center Express
CVE-2021-44228В Apache Log4j2 с 2.0-beta9 по 2.15.0 (исключая выпуски безопасности 2.12.2, 2.12.3 и 2.3.1) функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемых злоумышленником LDAP и других связанных с JNDI конечных точек. Злоумышленник, который может контролировать сообщения журнала или параметры сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений. В log4j 2.15.0 это поведение отключено по умолчанию. В версии 2.16.0 (вместе с 2.12.2, 2.12.3 и 2.3.1) эта функция была полностью удалена. Обратите внимание, что эта уязвимость относится к log4j-core и не затрагивает log4net, log4cxx или другие проекты Apache Logging Services.
CVE-2020-3280Уязвимость в Java Remote Management Interface Cisco Unified Contact Center Express (Unified CCX) может позволить не прошедшему проверку подлинности удаленному злоумышленнику выполнить произвольный код на уязвимом устройстве. Эта уязвимость связана с небезопасной десериализацией предоставленного пользователем контента уязвимым программным обеспечением. Злоумышленник может воспользоваться этой уязвимостью, отправив вредоносный сериализованный объект Java на определенный прослушиватель в уязвимой системе. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код от имени пользователя root на уязвимом устройстве.
CVE-2018-0403Множественные уязвимости в веб-интерфейсе управления Cisco Unified Contact Center Express (Unified CCX) могут позволить неаутентифицированному удаленному злоумышленнику получить пароль в виде открытого текста. Идентификаторы ошибок Cisco: CSCvg71040.
CVE-2017-12337Уязвимость в механизме обновления продуктов для совместной работы Cisco, основанных на программной платформе Cisco Voice Operating System, может позволить неаутентифицированному удаленному злоумышленнику получить несанкционированный повышенный доступ к затронутому устройству. Уязвимость возникает при выполнении обновления refresh (RU) или миграции Prime Collaboration Deployment (PCD) на затронутом устройстве. Когда обновление refresh или миграция PCD успешно завершены, инженерный флаг остается включенным и может разрешить root-доступ к устройству с известным паролем. Если уязвимое устройство впоследствии обновляется с использованием стандартного метода обновления до Engineering Special Release, обновления службы или нового основного выпуска затронутого продукта, эта уязвимость устраняется этим действием. Примечание: Engineering Special Releases, которые устанавливаются в виде файлов COP, а не стандартным методом обновления, не устраняют эту уязвимость. Злоумышленник, который может получить доступ к затронутому устройству через SFTP, пока оно находится в уязвимом состоянии, может получить root-доступ к устройству. Этот доступ может позволить злоумышленнику полностью скомпрометировать затронутую систему. Идентификаторы ошибок Cisco: CSCvg22923, CSCvg55112, CSCvg55128, CSCvg55145, CSCvg58619, CSCvg64453, CSCvg64456, CSCvg64464, CSCvg64475, CSCvg68797.
BDU:2020-02719Уязвимость веб-интерфейса управления программного средства автоматизации работы операторов Cisco Unified Contact Center Express существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код, путем отправки специально сформированного сериализованного объекта Java
BDU:2018-00039Уязвимость механизмов обновления продуктов Cisco на платформе Cisco Voice Operating System связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к устройствам с правами root с помощью известного пароля
CVE-2022-20658Уязвимость в веб-интерфейсе управления Cisco Unified Contact Center Management Portal (Unified CCMP) и Cisco Unified Contact Center Domain Manager (Unified CCDM) может позволить прошедшему проверку подлинности удаленному злоумышленнику повысить свои привилегии до администратора. Эта уязвимость связана с отсутствием проверки разрешений пользователя на стороне сервера. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный HTTP-запрос в уязвимую систему. Успешная эксплуатация может позволить злоумышленнику создавать учетные записи администратора. С помощью этих учетных записей злоумышленник может получать доступ к телефонным и пользовательским ресурсам и изменять их на всех платформах Unified, связанных с уязвимым Cisco Unified CCMP. Для успешной эксплуатации этой уязвимости злоумышленнику потребуются действительные учетные данные расширенного пользователя.
CVE-2025-20274Уязвимость Cisco Unified Intelligence Center позволяет аутентифицированному удаленному злоумышленнику загружать произвольные файлы на уязвимое устройство. Для устранения уязвимости рекомендуется применить обновления безопасности. Источники: - [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cuis-file-upload-UhNEtStm
CVE-2018-0402Множественные уязвимости в веб-интерфейсе управления Cisco Unified Contact Center Express (Unified CCX) могут позволить неаутентифицированному удаленному злоумышленнику провести атаку межсайтовой подделки запроса (CSRF). Идентификаторы ошибок Cisco: CSCvg70921.
CVE-2016-6427Уязвимость межсайтовой подделки запросов (CSRF) в Cisco Unified Intelligence Center (CUIC) 8.5.4 - 9.1(1), используемом в Unified Contact Center Express 10.0(1) - 11.0(1), позволяет удаленным злоумышленникам захватывать аутентификацию произвольных пользователей, также известную как Bug IDs CSCuy75036 и CSCuy81654.
BDU:2021-02958Уязвимость библиотеки Apache Commons Collections и программных продуктов Cisco связана с восстановлением в памяти недостоверных структур данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
CVE-2025-20275Уязвимость в процессе открытия файлов в Cisco Unified Contact Center Express (Unified CCX) Editor может позволить неаутентифицированному злоумышленнику выполнить произвольный код на уязвимом устройстве. Эта уязвимость обусловлена небезопасной десериализацией объектов Java в используемом программном обеспечении. Злоумышленник может воспользоваться этой уязвимостью, заставив пользователя с правами аутентификации открыть специально созданный файл .aef. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код на хосте, на котором запущено приложение редактора, с привилегиями пользователя, который его запустил. Подробности доступны в официальном уведомлении [1]. Источники: - [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-editor-rce-ezyYZte8
CVE-2010-1571Уязвимость обхода каталогов в службе bootstrap в Cisco Unified Contact Center Express (UCCX) 7.0 до 7.0(1)SR4 и 7.0(2), неуказанных версиях 6.0 и 5.0 до 5.0(2)SR3 позволяет удаленным злоумышленникам читать произвольные файлы через специально созданное сообщение bootstrap на TCP-порт 6295.
CVE-2010-1570Компонент сервера интеграции компьютерной телефонии (CTI) в Cisco Unified Contact Center Express (UCCX) 7.0 до 7.0(1)SR4 и 7.0(2), 6.0 до 6.0(1)SR1 и 5.0 до 5.0(2)SR3 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой CTI-сервера и Node Manager) через поврежденное CTI-сообщение.
CVE-2020-3177Уязвимость в Tool for Auto-Registered Phones Support (TAPS) Cisco Unified Communications Manager (UCM) и Cisco Unified Communications Manager Session Management Edition (SME) может позволить не прошедшему проверку подлинности удаленному злоумышленнику проводить атаки directory traversal на затронутом устройстве. Эта уязвимость связана с недостаточной проверкой входных данных, предоставленных пользователем, в интерфейс TAPS затронутого устройства. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный запрос в интерфейс TAPS. Успешная эксплуатация может позволить злоумышленнику читать произвольные файлы в системе.
CVE-2019-12633Уязвимость в Cisco Unified Contact Center Express (Unified CCX) может позволить неаутентифицированному удаленному злоумышленнику обойти элементы управления доступом и провести атаку с подделкой запросов на стороне сервера (SSRF) в целевой системе. Уязвимость связана с неправильной проверкой введенных пользователем данных в уязвимой системе. Злоумышленник может воспользоваться этой уязвимостью, отправив пользователю веб-приложения специально созданный запрос. Если запрос будет обработан, злоумышленник может получить доступ к системе и выполнить несанкционированные действия.
CVE-2017-6779Множество продуктов Cisco подвержены уязвимости в управлении локальными файлами для определенных файлов системного журнала продуктов для совместной работы Cisco, которая может позволить не прошедшему проверку подлинности удаленному злоумышленнику вызвать высокую загрузку диска, что приведет к отказу в обслуживании (DoS). Уязвимость возникает из-за того, что определенный файл системного журнала не имеет ограничения на максимальный размер. Таким образом, файлу разрешено занимать большую часть доступного дискового пространства на устройстве. Злоумышленник может использовать эту уязвимость, отправляя специально созданные запросы на удаленное подключение к устройству. Успешная эксплуатация может позволить злоумышленнику увеличить размер файла системного журнала, чтобы он занимал большую часть дискового пространства. Нехватка доступного дискового пространства может привести к состоянию DoS, при котором функции приложения могут работать ненормально, что сделает устройство нестабильным. Эта уязвимость затрагивает следующие продукты на базе Cisco Voice Operating System (VOS): Emergency Responder, Finesse, Hosted Collaboration Mediation Fulfillment, MediaSense, Prime License Manager, SocialMiner, Unified Communications Manager (UCM), Unified Communications Manager IM and Presence Service (IM&P — более ранние выпуски были известны как Cisco Unified Presence), Unified Communication Manager Session Management Edition (SME), Unified Contact Center Express (UCCx), Unified Intelligence Center (UIC), Unity Connection, Virtualized Voice Browser. Эта уязвимость также затрагивает Prime Collaboration Assurance и Prime Collaboration Provisioning. Идентификаторы ошибок Cisco: CSCvd10872, CSCvf64322, CSCvf64332, CSCvi29538, CSCvi29543, CSCvi29544, CSCvi29546, CSCvi29556, CSCvi29571, CSCvi31738, CSCvi31741, CSCvi31762, CSCvi31807, CSCvi31818, CSCvi31823.
CVE-2016-6426Функция j_spring_security_switch_user в Cisco Unified Intelligence Center (CUIC) 8.5.4 - 9.1(1), используемом в Unified Contact Center Express 10.0(1) - 11.0(1), позволяет удаленным злоумышленникам создавать учетные записи пользователей, посещая неуказанную веб-страницу, также известную как Bug IDs CSCuy75027 и CSCuy81653.
CVE-2025-20376Уязвимость в веб-пользовательском интерфейсе Cisco Unified CCX может позволить аутентифицированному удаленному злоумышленнику загружать и исполнять произвольные файлы. Эта уязвимость обусловлена недостаточной валидацией ввода, связанной с механизмами загрузки файлов. Злоумышленник может использовать эту уязвимость, загрузив вредоносный файл в веб-инт и выполнив его. Успешный эксплойт может позволить злоумышленнику выполнять произвольные команды в базовой системе и возвышать привилегии до корневых. Чтобы использовать эту уязвимость, злоумышленник должен иметь действительные административные полномочия.
CVE-2025-20375Уязвимость в веб-пользовательском интерфейсе Cisco Unified CCX может позволить аутентифицированному удаленному злоумышленнику загружать и исполнять произвольные файлы. Эта уязвимость обусловлена недостаточной валидацией ввода, связанной с конкретными функциями пользовательского интерфейса. Злоумышленник может использовать эту уязвимость, загрузив созданный файл в веб-инт. Успешный эксплойт может позволить злоумышленнику загружать произвольные файлы в уязвимую систему и выполнять их, получа доступ к базовой операционной системе. Чтобы использовать эту уязвимость, злоумышленник должен иметь действительные административные полномочия.
CVE-2025-20276Уязвимость в веб-интерфейсе управления Cisco Unified CCX может позволить авторизованному удалённому злоумышленнику выполнить произвольный код на уязвимом устройстве. Для эксплуатации уязвимости требуется наличие действительных административных учётных данных. Уязвимость связана с небезопасной десериализацией Java-объектов [1]. Источники: - [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-multi-UhOTvPGL
CVE-2019-1888Уязвимость в веб-интерфейсе администрирования Cisco Unified Contact Center Express (Unified CCX) может позволить прошедшему проверку подлинности удаленному злоумышленнику загружать произвольные файлы и выполнять команды в базовой операционной системе. Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимы действительные учетные данные администратора. Уязвимость связана с недостаточными ограничениями для содержимого, загружаемого в уязвимую систему. Злоумышленник может воспользоваться этой уязвимостью, загрузив произвольные файлы, содержащие команды операционной системы, которые будут выполняться уязвимой системой. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные команды с привилегиями веб-интерфейса, а затем повысить свои привилегии до root.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →