2025年7月第二週 資安威脅週報
【重要等級:嚴重風險】
| 弱點名稱 |
| Cisco:Cisco Unified Communications Manager Static SSH Credentials Vulnerability (Critical) |
|
► 摘要:Cisco的Unified Communications Manager (Unified CM) 與 Unified Communications Manager Session Management Edition (Unified CM SME) 存 在預設重要帳號靜態密碼問題,未驗證遠端攻擊者可SSH登入root帳號,以直接完 全管理受影響設備。 ► CVE 編號:CVE-2025-20309 ► 受影響廠商:Cisco ► 受影響產品:Cisco Unified CM, Cisco Unified CM SME ► Cisco Unified CM and Unified CM SME 12.5與14版本不受影響。 ► Cisco Unified CM, Cisco Unified CM SME 15.0.1.13010-1 ~ 15.0.1.13017-1版本受影響 ,安裝15SU3 (待釋出) ,或至Unified CM下載頁取得 “COP file to address CSCwp27755 in select UCM 15 ES releases” (需登入) 以進行更新修正。 ► 修補說明:Cisco於2025/7/2發佈此漏洞。(詳細請參考: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssh-m4UBdpE7) |
| Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability |
|
► 摘要:Microsoft Edge (Chromium-based) 存在資源類型混亂漏洞 (Type Confusion),攻擊者可誘使使用者以Edge瀏覽惡意網頁資源,以攻擊用戶端執行 任意命令。 ► CVE 編號:CVE-2025-47913 ► 受影響廠商:Microsoft ► 受影響產品:Edge (Chromium-based) ► 將Edge (Chromium-based) 更新至138.0.3351.65或以上版本修正。 ► 修補說明:Microsoft於2025/7/2發佈此漏洞。(詳細請參考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49713) |
| F5:BIG-IP Next Central Manager OData Injection vulnerability |
|
► 摘要:F5 BIG-IP Next Central Manager API存在OData Injection漏洞,未驗證攻 擊者藉由送出特製API請求,以進行惡意OData注入攻擊(執行惡意SQL命令),取 得重要資訊。 ► CVE 編號:CVE-2024-21793 ► 受影響廠商:F5 ► 受影響產品:BIG-IP Next Central Manager ► BIG-IP Next Central Manager 20.0.1 - 20.1.0版本受影響,升級至20.2.0版本修正。 ► 修補說明:F5於2025/7/2更新此漏洞。(詳細請參考: https://my.f5.com/manage/s/article/K000138732) |
|
|
|