خانه » CVE-2025-20375
هشدار‌های سایبری

CVE-2025-20375

Cisco Unified Contact Center Express Arbitrary File Upload Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 272 بازدید
هشدار سایبری CVE-2025-20375
  • شناسه CVE-2025-20375 :CVE
  • CWE-434 :CWE
  • yes :Advisory
  • منتشر شده: نوامبر 5, 2025
  • به روز شده: نوامبر 5, 2025
  • امتیاز: 6.5
  • نوع حمله: Arbitrary File Upload
  • اثر گذاری: Arbitrary code execution(ACE)
  • حوزه: نرم افزارهای شبکه و امنیت
  • برند: Cisco
  • محصول: Cisco Unified Contact Center Express
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری آپلود فایل دلخواه (Arbitrary File Upload) در رابط کاربری وب (Web UI) نرم‌افزار Cisco Unified Contact Center Express (CCX) شناسایی شده است که به مهاجم احراز هویت‌شده با دسترسی مدیریتی اجازه آپلود و اجرای فایل‌های مخرب را می‌دهد.

توضیحات

آسیب‌پذیری CVE-2025-20375 در نرم‌افزار Cisco Unified Contact Center Express (CCX) از نوع آپلود نامحدود فایل با نوع مخرب مطابق با CWE-434 است. این ضعف ناشی از اعتبارسنجی ناکافی در برخی قابلیت‌های رابط کاربری وب است و به مهاجم احراز هویت‌شده دارای اعتبار مدیریتی معتبر اجازه می‌دهد، فایل‌های مخرب (مانند اسکریپت‌های اجرایی، jar یا وب‌شل‌ها) را از طریق فرم‌های آپلود در Web UIبارگذاری کرده و سپس آن‌ها را اجرا نماید. در نتیجه، مهاجم به سیستم عامل میزبان (معمولاً مبتنی بر لینوکس) دسترسی یافته و می‌تواند دستورات دلخواه را اجرا کند.

پیامدهای آن شامل تاثیر منفی بر محرمانگی با افشای اطلاعات حساس مانند فایل‌های پیکربندی CCX یا لاگ های تماس و یکپارچگی با تغییر سیستم مانند تزریق بدافزار یا تغییر تنظیمات است.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای خودکار مانند curl یا Burp Suite برای دستکاری درخواست‌های HTTP، به‌صورت از راه دور، بدون تعامل کاربر اضافی و تنها با داشتن دسترسی های مدیریتی (مانند نام کاربری یا رمز عبور)، فایل‌های مخرب را بخش های آپلود رابط وب مانند آپلود فایل‌های پیکربندی یا اسکریپت تزریق کند و آنها را اجرا نماید. شرکت سیسکو این ضعف را با انتشار به‌روزرسانی‌های نرم‌افزاری پچ کرده است.

CVSS

Score Severity Version Vector String
6.5 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

لیست محصولات آسیب پذیر

Versions Product
affected at 10.5(1)SU1

affected at 10.6(1)

affected at 11.6(1)

affected at 10.6(1)SU1

affected at 10.6(1)SU3

affected at 11.6(2)

affected at 12.0(1)

affected at 11.0(1)SU1

affected at 11.5(1)SU1

affected at 10.5(1)

affected at 12.5(1)

affected at 12.5(1)SU1

affected at 12.5(1)SU2

affected at 12.5(1)SU3

affected at 12.5(1)_SU03_ES01

affected at 12.5(1)_SU03_ES02

affected at 12.5(1)_SU02_ES03

affected at 12.5(1)_SU02_ES04

affected at 12.5(1)_SU02_ES02

affected at 12.5(1)_SU01_ES02

affected at 12.5(1)_SU01_ES03

affected at 12.5(1)_SU02_ES01

affected at 11.6(2)ES07

affected at 11.6(2)ES08

affected at 12.5(1)_SU01_ES01

affected at 12.0(1)ES04

affected at 12.5(1)ES02

affected at 12.5(1)ES03

affected at 11.6(2)ES06

affected at 12.5(1)ES01

affected at 12.0(1)ES03

affected at 12.0(1)ES01

affected at 11.6(2)ES05

affected at 12.0(1)ES02

affected at 11.6(2)ES04

affected at 11.6(2)ES03

affected at 11.6(2)ES02

affected at 11.6(2)ES01

affected at 10.6(1)SU3ES03

affected at 11.0(1)SU1ES03

affected at 10.6(1)SU3ES01

affected at 10.5(1)SU1ES10

affected at 11.5(1)SU1ES03

affected at 11.6(1)ES02

affected at 11.5(1)ES01

affected at 10.6(1)SU2

affected at 10.6(1)SU2ES04

affected at 11.6(1)ES01

affected at 10.6(1)SU3ES02

affected at 11.5(1)SU1ES02

affected at 11.5(1)SU1ES01

affected at 11.0(1)SU1ES02

affected at 12.5(1)_SU03_ES03

affected at 12.5(1)_SU03_ES04

affected at 12.5(1)_SU03_ES05

affected at UCCX 15.0.1

affected at 12.5(1)_SU03_ES06

 Cisco Unified Contact Center Express

لیست محصولات بروز شده

Versions Product
12.5 SU3 ES07

15.0 ES01

 Cisco Unified Contact Center Express

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Cisco Unified Contact Center Express را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
885 site:.ir “Cisco Unified Contact Center Express” Cisco Unified Contact Center Express

نتیجه گیری

این آسیب‌پذیری با شدت متوسط، ریسک آپلود و اجرای فایل دلخواه در رابط وب Cisco CCX را برای مهاجمان با دسترسی مدیریتی افزایش می‌دهد و می‌تواند منجر به نقض کامل سیستم‌های مراکز تماس شود. با توجه به انتشار پچ امنیتی، اجرای اقدامات زیر برای کاهش ریسک ضروری است:

  • به‌روزرسانی فوری: سیستم‌های CCX را در اسرع وقت به نسخه‌های پچ شده به روزرسانی کنید. این پچ‌ها در پورتال سیسکو در دسترس هستند.
  • تقویت اعتبارسنجی ورودی: در Web UI فیلتر نوع فایل اعمال کنید (فهرست سفید مثلاً برای xml/.cfg)، اندازه و محتوای آپلودها را چک کنید و آپلودها را با اسکن آنتی‌ویروس بازبینی کنید؛ از سیاست امنیتی محتوا (CSP) برای جلوگیری از اجرای اسکریپت‌های ناخواسته بهره ببرید.
  • مدیریت دسترسی: اصل حداقل دسترسی (Least Privilege) را برای حساب‌های مدیریتی اعمال کنید، احراز هویت چندمرحله‌ای(MFA) را اجباری نمایید و دسترسی Web UI را به IPهای معتبر محدود کنید.
  • نظارت و تشخیص: لاگ‌های آپلود و فعالیت وب را با ابزارهایی مانند Splunk یا Cisco SecureX مانیتور کنید؛ برای فایل‌های مشکوک (مثلاً jsp، .sh یا jar در دایرکتوری‌های موقت) هشدار تنظیم کرده و از راهکارهای EDR (سامانه تشخیص و پاسخ اندپوینت) برای شناسایی اجرای مخرب استفاده کنید.
  • ایزوله‌سازی: Web UI را پشت فایروال اپلیکیشن وب (WAF) مانند Cisco Secure Web Appliance قرار دهید و انتقال ترافیک را با اجبار HTTPS ایمن سازی کنید.
  • تست امنیتی: با ابزارهایی مانند OWASP ZAP، Nessus یا تست نفوذ عملی، سناریوهای آپلود مخرب را شبیه‌سازی کنید و اثربخشی پَچ‌ها را تأیید نمایید.
  • آموزش: مدیران را در مورد ریسک‌های آپلود فایل و اهمیت تغییر دوره‌ای رمز عبور و مدیریت اعتبارها آموزش دهید.

این اقدامات، به‌ویژه به‌روزرسانی و نظارت دقیق، امنیت Web UI CCX را تقویت کرده و از بهره‌برداری جلوگیری می کند.

امکان استفاده در تاکتیک های Mitre Attack

با فرض عدم وجود سیستم های دفاع در عمق امکان استفاده در تاکتیک های زیر وجود داد.

Initial Access (TA0001)
مهاجم می‌تواند از طریق حساب‌های مدیریتی Web UI یا API به رابط CCX وارد شود و مکانیزم آپلود یا عملکردهای مدیریتی را فعال کند.

Execution (TA0002)
فایل‌های آپلود شده می‌توانند به‌عنوان اسکریپت یا باینری اجرا شوند و کد دلخواه را روی میزبان لینوکسی اجرا کنند؛

Persistence (TA0003)
مهاجم ممکن است فایل‌ها یا سرویس‌هایی بارگذاری کند که پس از ریبوت یا راه‌اندازی مجدد سرویس فعال بمانند

Privilege Escalation (TA0004)
اجرای کد می‌تواند امکان سوءاستفاده از آسیب‌پذیری‌های محلی یا خواندن کلیدها/پیکربندی‌ها را فراهم کرده و به افزایش سطح دسترسی منجر شود

Defense Evasion (TA0005)
فایل‌ها ممکن است با نام‌ها/پسوندهای مجاز استتار شوند یا از تکنیک‌های Obfuscation برای عبور از تشخیص مبتنی بر امضا استفاده کنند.

Collection (TA0009)
مهاجم پس از آپلود یا اجرای فایل مخرب یا پس از دسترسی به رابط مدیریتی Web UI می‌تواند به‌صورت خودکار یا دستی داده‌های حساس را جمع‌آوری کند — شامل اسکریپت‌های مدیریت تماس، فایل‌های پیکربندی، لاگ‌های تماس، توکن‌ها یا آدرس‌های endpoint — و آن‌ها را در مسیرهای موقت یا فضای آپلود جمع‌آوری کند تا برای تحلیل بعدی یا خروج از شبکه استفاده کند.

Impact (TA0040)
بهره‌برداری موفق می‌تواند به افشای اطلاعات تماس و پیکربندی‌ها، تغییر اسکریپت‌های تماس و اجرای کد دلخواه منجر شود که عملکرد مرکز تماس و محرمانگی را به‌خطر می‌اندازد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-20375
  2. https://www.cvedetails.com/cve/CVE-2025-20375/
  3. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cc-mult-vuln-gK4TFXSn
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20375
  5. https://vuldb.com/?id.331285
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-20375
  7. https://cwe.mitre.org/data/definitions/434.html

همچنین ممکن است دوست داشته باشید

CVE-2026-2441

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.