- شناسه CVE-2025-20354 :CVE
- CWE-434 :CWE
- yes :Advisory
- منتشر شده: نوامبر 5, 2025
- به روز شده: نوامبر 5, 2025
- امتیاز: 9.8
- نوع حمله: Unrestricted File Upload
- اثر گذاری: Remote code execution(RCE)
- حوزه: تجهیزات شبکه و امنیت
- برند: Cisco
- محصول: Cisco Unified Contact Center Express
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری بحرانی اجرای کد از راه دور (RCE) در فرآیند Java Remote Method Invocation (RMI) نرمافزار Cisco Unified Contact Center Express (CCX) شناسایی شده است که به مهاجم از راه دور، بدون نیاز به احراز هویت اجازه می دهد فایلهای دلخواه را آپلود کرده و دستورات با مجوزهای root اجرا کند. در نتیجه این ضعف میتواند منجر به تسلط کامل بر سرور CCX، افشای دادهها، نصب بدافزار و گسترش حمله در شبکه شود.
توضیحات
آسیبپذیری CVE-2025-20354 از نوع آپلود نامحدود فایل با نوع مخرب مطابق با CWE-434 در فرآیند Java RMI (پروتکلی برای فراخوانی متدهای جاوا از راه دور در محیطهای توزیعشده) نرمافزار Cisco Unified Contact Center Express (سیستمی برای مدیریت تماسهای مشتری در مراکز تماس) شناسایی شده است. این ضعف به دلیل مکانیزم های احراز هویت ناکافی یا نادرست مرتبط با برخی قابلیت های خاص CCX است که به مهاجم بدون نیاز به احراز هویت اجازه میدهد فایلهای مخرب (مانند jar یا اسکریپتهای اجرایی) را از طریق اندپوینت RMI آپلود کرده و سپس آنها را با مجوزهای root روی سیستم عامل میزبان (معمولاً مبتنی بر لینوکس) اجرا نماید.
به عبارتی، مهاجم با دسترسی شبکهای به پورت RMI، درخواستهای مخرب را ارسال میکند و پیلود خود را تزریق مینماید. پیامدهای آن شامل تاثیر منفی بر محرمانگی با افشای اطلاعات حساس مانند دادههای تماس مشتریان، یکپارچگی با تغییر در سیستم مانند تغییر فایلها و تنظیمات CCX و در دسترس پذیری با ایجاد اختلال در سرویس از طریق اجرای کد مخرب و افزایش مجوزها به root است که میتواند منجر به نصب بدافزار یا گسترش حمله به شبکههای دیگر شود.
بهرهبرداری از این ضعف بهسادگی قابل خودکارسازی است؛ مهاجم میتواند با اسکریپتها یا ابزارهای خودکار، بهصورت از راه دور، بدون تعامل کاربر و بدون احراز هویت یا دسترسی اولیه، فایلهای مخرب را از طریق RMI آپلود کند و دستورات دلخواه را با دسترسی root اجرا نماید. کد اثبات مفهومی (PoC) بهصورت عمومی منتشر شده که بهرهبرداری را تسهیل میکند و نشان میدهد در صورتی که سرویس RMI در برابر دسترسی شبکهای (مثلاً با فایروال یا ACL) محافظت نشده باشد، مهاجم میتواند با اتصال به پورت RMI بارگذاری و اجرای پیلود مخرب را انجام دهد. سیسکو این ضعف را با انتشار بهروزرسانیهای نرمافزاری پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 9.8 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 10.5(1)SU1
affected at 10.6(1) affected at 11.6(1) affected at 10.6(1)SU1 affected at 10.6(1)SU3 affected at 11.6(2) affected at 12.0(1) affected at 11.0(1)SU1 affected at 11.5(1)SU1 affected at 10.5(1) affected at 12.5(1) affected at 12.5(1)SU1 affected at 12.5(1)SU2 affected at 12.5(1)SU3 affected at 12.5(1)_SU03_ES01 affected at 12.5(1)_SU03_ES02 affected at 12.5(1)_SU02_ES03 affected at 12.5(1)_SU02_ES04 affected at 12.5(1)_SU02_ES02 affected at 12.5(1)_SU01_ES02 affected at 12.5(1)_SU01_ES03 affected at 12.5(1)_SU02_ES01 affected at 11.6(2)ES07 affected at 11.6(2)ES08 affected at 12.5(1)_SU01_ES01 affected at 12.0(1)ES04 affected at 12.5(1)ES02 affected at 12.5(1)ES03 affected at 11.6(2)ES06 affected at 12.5(1)ES01 affected at 12.0(1)ES03 affected at 12.0(1)ES01 affected at 11.6(2)ES05 affected at 12.0(1)ES02 affected at 11.6(2)ES04 affected at 11.6(2)ES03 affected at 11.6(2)ES02 affected at 11.6(2)ES01 affected at 10.6(1)SU3ES03 affected at 11.0(1)SU1ES03 affected at 10.6(1)SU3ES01 affected at 10.5(1)SU1ES10 affected at 11.5(1)SU1ES03 affected at 11.6(1)ES02 affected at 11.5(1)ES01 affected at 10.6(1)SU2 affected at 10.6(1)SU2ES04 affected at 11.6(1)ES01 affected at 10.6(1)SU3ES02 affected at 11.5(1)SU1ES02 affected at 11.5(1)SU1ES01 affected at 11.0(1)SU1ES02 affected at 12.5(1)_SU03_ES03 affected at 12.5(1)_SU03_ES04 affected at 12.5(1)_SU03_ES05 affected at UCCX 15.0.1 affected at 12.5(1)_SU03_ES06 |
Cisco Unified Contact Center Express |
لیست محصولات بروز شده
| Versions | Product |
| 12.5 SU3 ES07
15.0 ES01 |
Cisco Unified Contact Center Express |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Cisco Unified Contact Center Express را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 885 | site:.ir “Cisco Unified Contact Center Express” | Cisco Unified Contact Center Express |
نتیجه گیری
این آسیبپذیری بحرانی در Cisco CCX یک ضعف جدی است که به مهاجم از راه دور، بدون نیاز به احراز هویت امکان اجرای کد با سطح دسترسی root را میدهد و میتواند منجر به نفوذ کامل و نقض امنیت مراکز تماس شود. با توجه به انتشار بهروزرسانیهای رسمی، اجرای فوری اقدامات زیر ضروری است:
- بهروزرسانی فوری: تمامی سیستمهای CCX را به نسخههای پچ شده به روزرسانی کنید. این پچها در پورتال سیسکو در دسترس هستند.
- محدودسازی دسترسی: پورت RMI (بهطور پیشفرض پورت 6999) را با فایروال یا لیستهای کنترل دسترسی (ACL) از شبکههای غیراعتماد جدا کنید و دسترسی را فقط به IPهای مدیریتی مجاز محدود نمایید.
- نظارت و تشخیص: ترافیک RMI را با ابزارهایی مانند Snort یا Cisco Secure Network Analytics نظارت کنید، لاگهای Java و سیستم را برای آپلودهای مشکوک (مانند jarهای ناشناخته) بررسی نمایید و از سیستم مدیریت اطلاعات و رویدادهای امنیتی (SIEM) برای هشدار IOCها (مانند اتصالات خروجی یا فایلهای جدید در دایرکتوریهای temp CCX) استفاده کنید.
- ایزولهسازی شبکه: CCX را در شبکه های جداگانه VLAN قرار دهید و دسترسی RMI را به VPN محدود کنید.
- تست امنیتی: اسکنهای آسیبپذیری و تست نفوذ متمرکز بر RMI انجام دهید (با Metasploit یا ابزارهای داخلی) و اکسپلویت های شناختهشده را فقط در محیط آزمایشی ایزولهشده اجرا کنید.
- آموزش: تیمهای عملیات و امنیت را در خصوص ریسکهای RMI، روند اعمال پچ و روش های واکنش سریع آموزش دهید.
این اقدامات، بهویژه بهروزرسانی و ایزولهسازی، ریسک را به حداقل رسانده و پایداری سیستمهای CCX را در برابر حملات RCE افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
با فرض عدم وجود سیستم های دفاع در عمق امکان استفاده در تاکتیک های زیر وجود داد.
Initial Access (TA0001)
مهاجم با ارسال درخواستهای شبکهای crafted به سرویس Java RMI در Cisco Unified CCX (اندپوینتهای در معرض شبکه) میتواند بدون احراز هویت، پیلود آپلود کند و بدینصورت دسترسی اولیه را کسب نماید.
Execution (TA0002)
این ضعف اجازه اجرای کد از راه دور (Remote Code Execution) را میدهد: پیلود آپلود شده توسط مهاجم در بستر Java RMI اجرا میشود و امکان اجرای دستورات دلخواه روی میزبان فراهم میآید.
Privilege Escalation (TA0004)
در گزارش رسمی اشاره شده که پیلود آپلود شده میتواند با مجوزهای root اجرا شود یا منجر به افزایش سطح دسترسی به root گردد؛ بنابراین پس از اجرای پیلود، مهاجم میتواند کنترل سطحبالا (privileged) سیستم را به دست آورد.
Lateral Movement (TA0008)
مشخصات و مشاهدات رسمی نشان میدهد بهرهبرداری میتواند به گسترش حمله در شبکه منجر شود. حرکت جانبی از سرور CCX به دیگر میزبانها ممکن است.
Collection & Exfiltration (TA0011 / TA0010)
پس از نفوذ، جمعآوری دادههای حساس و احتمالاً استخراج آنها از شبکه محتمل است.
Defense Evasion (TA0005)
هرچند اکسپلویت رسمی اشاره مستقیم به تکنیکهای خاص پنهانسازی نکرده، اما اجرای کد و آپلود فایلهای مخرب معمولاً با تلاش برای مخفیسازی آثار (پاکسازی لاگ، جاگذاری باینریها در مسیرهای معتبر) همراه است
Impact (TA0040)
پیامد فنی گزارششده شامل تسلط کامل بر سرور CCX، افشای دادههای تماس، نصب بدافزار، و قطع یا اختلال در سرویس است که میتواند به نقض محرمانگی، یکپارچگی و در دسترسپذیری منجر شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-20354
- https://www.cvedetails.com/cve/CVE-2025-20354/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cc-unauth-rce-QeN8h7mQ
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20354
- https://vuldb.com/?id.331286
- https://github.com/allinsthon/CVE-2025-20354
- https://github.com/B1ack4sh/Blackash-CVE-2025-20354
- https://nvd.nist.gov/vuln/detail/CVE-2025-20354
- https://cwe.mitre.org/data/definitions/434.html
