Kritische Sicherheitslücke in Cisco Meeting Management REST API
Cisco hat eine schwerwiegende Sicherheitslücke (CVE-2025-20156) in der REST API von Cisco Meeting Management identifiziert. Diese ermöglicht es einem entfernten, authentifizierten Angreifer mit niedrigen Privilegien, Administratorrechte auf einem betroffenen Gerät zu erlangen. Die Schwachstelle wird durch mangelnde Autorisierungsprüfungen bei API-Nutzern verursacht. Ein erfolgreicher Angriff erlaubt es dem Angreifer, vollständige Kontrolle über Edge-Nodes zu erlangen, die von Cisco Meeting Management verwaltet werden.
Die Sicherheitslücke betrifft alle Versionen von Cisco Meeting Management bis einschließlich Version 3.8. Eine aktualisierte Softwareversion (3.9.1 und höher) behebt das Problem. Es sind keine Workarounds verfügbar, sodass betroffene Organisationen dringend aufgefordert werden, die bereitgestellten Sicherheitsupdates zu installieren.
Cisco weist darauf hin, dass keine Berichte über die aktive Ausnutzung der Schwachstelle vorliegen. Die Schwachstelle wurde von Ben Leonard-Lagarde von Modux gemeldet. Für weitere Informationen besuchen Sie die offizielle Sicherheitswarnung unter: Cisco Security Advisory.