关键漏洞信息 漏洞概述 CVE编号: CVE-2025-20113, CVE-2025-20114 CVSS评分: 7.1 (CVE-2025-20113), 4.3 (CVE-2025-20114) 严重性: 高 (High) 影响的产品 Cisco Unified Intelligence Center 包括作为以下Cisco解决方案的一部分使用的Unified Intelligence Center: - Packaged Contact Center Enterprise (Packaged CCE) - Unified Contact Center Enterprise (Unified CCE) - Unified Contact Center Express (Unified CCX) (由于Unified CCX包含Unified Intelligence Center作为其软件包的一部分) 漏洞详情 1. CVE-2025-20113: Cisco Unified Intelligence Center Privilege Escalation Vulnerability - 由于API或HTTP请求中用户提供的参数的服务器端验证不足,允许经过身份验证的远程攻击者提升权限到管理员级别。 - 成功利用此漏洞可使攻击者访问、修改或删除其预期访问级别之外的数据,包括获取系统中存储的潜在敏感信息。 2. CVE-2025-20114: Cisco Unified Intelligence Center Horizontal Privilege Escalation Vulnerability - 由于API请求中用户提供的参数验证不足,允许经过身份验证的远程攻击者在受影响系统上执行跨对象引用攻击。 - 成功利用此漏洞可使攻击者访问与不同用户关联的敏感数据。 解决方案 Cisco已发布软件更新以解决这些漏洞。 没有可用的变通方法来解决这些漏洞。 固定软件 客户应升级到适当的固定软件版本,如本节中所述。 具体版本和修复信息请参阅“Fixed Releases”部分。