- شناسه CVE-2025-20274 :CVE
- CWE-434 :CWE
- yes :Advisory
- منتشر شده: جولای 16, 2025
- به روز شده: جولای 16, 2025
- امتیاز: 6.3
- نوع حمله: Unknown
- اثر گذاری: Arbitrary code execution(ACE)
- حوزه: تجهیزات شبکه و امنیت
- برند: Cisco
- محصول: Cisco Unified Contact Center Express
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در رابط مدیریتی مبتنی بر وب Cisco Unified Intelligence Center شناسایی شده است. این آسیب پذیری امکان بارگذاری فایلهای دلخواه توسط مهاجم مجاز را فراهم کرده و میتواند منجر به اجرای کد دلخواه و افزایش سطح دسترسی به root شود.
توضیحات
این آسیب پذیری به دلیل اعتبارسنجی ناکافی فایلهای بارگذاریشده (CWE-434) از طریق رابط مدیریتی مبتنی بر وب ایجاد شده است و به مهاجمی با اعتبارنامه معتبر دارای حداقل سطح دسترسی Report Designer اجازه میدهد فایلهای دلخواه را روی دستگاه بارگذاری کند. بهرهبرداری موفق از این آسیبپذیری میتواند منجر به ذخیره فایلهای مخرب، اجرای دستورات دلخواه در سیستمعامل و افزایش سطح دسترسی به سطح root شود. شرکت Cisco این آسیب پذیری را در نسخه های مشخصی برطرف کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 10.6(1)
affected at 10.5(1)SU1 affected at 10.6(1)SU3 affected at 12.0(1) affected at 10.6(1)SU1 affected at 11.0(1)SU1 affected at 11.5(1)SU1 affected at 10.5(1) affected at 11.6(1) affected at 11.6(2) affected at 12.5(1) affected at 12.5(1)SU1 affected at 12.5(1)SU2 affected at 12.5(1)SU3 affected at 12.5(1)_SU03_ES01 affected at 12.5(1)_SU03_ES02 affected at 12.5(1)_SU02_ES03 affected at 12.5(1)_SU02_ES04 affected at 12.5(1)_SU02_ES02 affected at 12.5(1)_SU01_ES02 affected at 12.5(1)_SU01_ES03 affected at 12.5(1)_SU02_ES01 affected at 11.6(2)ES07 affected at 11.6(2)ES08 affected at 12.5(1)_SU01_ES01 affected at 12.0(1)ES04 affected at 12.5(1)ES02 affected at 12.5(1)ES03 affected at 11.6(2)ES06 affected at 12.5(1)ES01 affected at 12.0(1)ES03 affected at 12.0(1)ES01 affected at 11.6(2)ES05 affected at 12.0(1)ES02 affected at 11.6(2)ES04 affected at 11.6(2)ES03 affected at 11.6(2)ES02 affected at 11.6(2)ES01 affected at 10.6(1)SU3ES03 affected at 11.0(1)SU1ES03 affected at 10.6(1)SU3ES01 affected at 10.5(1)SU1ES10 affected at 11.5(1)SU1ES03 affected at 11.6(1)ES02 affected at 11.5(1)ES01 affected at 10.6(1)SU2 affected at 10.6(1)SU2ES04 affected at 11.6(1)ES01 affected at 10.6(1)SU3ES02 affected at 11.5(1)SU1ES02 affected at 11.5(1)SU1ES01 affected at 11.0(1)SU1ES02 affected at 12.5(1)_SU03_ES03 affected at 12.5(1)_SU03_ES04 affected at 12.5(1)_SU03_ES05 affected at 12.5(1)_SU03_ES06 |
Cisco Unified Contact Center Express |
| affected at 11.6(1)
affected at 10.5(1) affected at 11.0(1) affected at 11.5(1) affected at 12.0(1) affected at 12.5(1) affected at 11.0(2) affected at 12.6(1) affected at 12.5(1)SU affected at 12.6(1)_ET affected at 12.6(1)_ES05_ET affected at 11.0(3) affected at 12.6(2) affected at 12.6(2)_504_Issue_ET affected at 12.6.1_ExcelIssue_ET affected at 12.6(2)_Permalink_ET affected at 12.6.2_CSCwk19536_ET affected at 12.6.2_CSCwm96922_ET affected at 12.6.2_Amq_OOS_ET affected at 12.5(2)ET_CSCwi79933 affected at 12.6(2)_ET affected at 12.6.2_CSCwn48501_ET |
Cisco Unified Intelligence Center |
لیست محصولات بروز شده
| Versions | Product |
| Version 15 (not vulnerable) – migration recommended | Cisco Unified Contact Center Express |
| 12.5(1) SU ES05
12.6(2) ES05 |
Cisco Unified Intelligence Center |
نتیجه گیری
به کاربران توصیه می شود در اسرع وقت به نسخه های پچ شده به روزرسانی کرده و دسترسی های Report Designer را محدود کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-20274
- https://www.cvedetails.com/cve/CVE-2025-20274/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cuis-file-upload-UhNEtStm
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20274
- https://vuldb.com/?id.316685
- https://nvd.nist.gov/vuln/detail/CVE-2025-20274
- https://cwe.mitre.org/data/definitions/434.html
