一、 漏洞 CVE-2025-20326 基础信息
漏洞信息
# 思科统一通信管理器跨站请求伪造漏洞
## 概述
Cisco Unified Communications Manager(Unified CM)软件及其Session Management Edition(SME)版本的Web管理接口中存在一个跨站请求伪造(CSRF)漏洞。该漏洞允许未经身份验证的远程攻击者对受影响的设备发起CSRF攻击。
## 影响版本
未明确列出具体版本号,但描述适用于存在该漏洞的Cisco Unified CM和SME软件版本。
## 细节
漏洞的根源是受影响设备的Web管理接口缺乏足够的CSRF防护机制。攻击者可以通过欺骗用户点击恶意链接来利用此漏洞。
## 影响
攻击成功后,攻击者可以在受影响用户的权限级别下执行任意操作,可能导致系统配置被篡改、服务中断或其他未经授权的行为。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Cisco Unified Communications Manager Cross-Site Request Forgery Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the web-based management interface of Cisco Unified Communications Manager (Unified CM) Software and Cisco Unified CM Session Management Edition (SME) Software could allow an unauthenticated, remote attacker to conduct a cross-site request forgery (CSRF) attack on an affected device.
This vulnerability is due to insufficient CSRF protections for the web-based management interface on an affected device. An attacker could exploit this vulnerability by persuading a user of the interface to click a malicious link. A successful exploit could allow the attacker to perform arbitrary actions with the privilege level of the affected user.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Cisco Unified Communications Manager 跨站请求伪造漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco Unified Communications Manager是美国思科(Cisco)公司的一款统一通信系统中的呼叫处理组件。该组件提供了一种可扩展、可分布和高可用的企业IP电话呼叫处理解决方案。 Cisco Unified Communications Manager存在跨站请求伪造漏洞,该漏洞源于CSRF保护不足,可能导致跨站请求伪造攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站请求伪造
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-20326 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-20326 的情报信息
四、漏洞 CVE-2025-20326 的评论
暂无评论