Une faille dans l'interface de gestion basée sur le web Unity Connection de Cisco est à corriger dès à présent. Cisco a en effet découvert un trou de sécurité donnant la capacité à un attaquant distant non authentifié de télécharger des fichiers arbitraires sur un système sur lequel cette solution est installée et d'exécuter des commandes sur le système d'exploitation sous-jacent. Unity Connection est une solution de messagerie unifiée et de boîte vocale utilisée dans plusieurs solutions Cisco dont Jabber et ses terminaux Unified IP Phone, mais aussi avec différents smartphones et tablettes.
Identifiée en tant que CVE-2024-20272, cette faille est considérée comme critique. « Cette vulnérabilité est due à un manque d'authentification dans une API spécifique et à une validation incorrecte des données fournies par l'utilisateur. Un pirate peut exploiter cette faille en téléchargeant des fichiers arbitraires sur un système affecté. Une exploitation réussie pourrait permettre à l'attaquant de stocker des fichiers malveillants sur le système, d'exécuter des commandes arbitraires sur le système d'exploitation et élever ses privilèges au niveau root », a prévenu Cisco.
Il n'existe pas de solution de contournement pour remédier à cette vulnérabilité affectant Unity Connection pour laquelle Cisco a publié des mises à jour logicielles correctives à installer donc dès que possible.