Cisco System、Ciscoボイスオペレーティングシステムベースの製品に不正アクセス可能な脆弱性を確認
Cisco SystemのCiscoボイスオペレーティングシステムベースの製品のアップグレード機能に不正アクセス可能な脆弱性が確認された。影響を受けるのはCiscoボイスオペレーティングシステムをベースとした製品で、Cisco Unified Communications Manager (UCM)、Cisco Unified Communication Manager Session Management Edition (SME)、Cisco Emergency Responder、Cisco Unity Connection、Cisco Unified Communications Manager IM、Presence Service (IM&P; earlier releases were known as Cisco Unified Presence)、Cisco Prime License Manager、Cisco Hosted Collaboration Mediation Fulfillment、Cisco Unified Contact Center Express (UCCx)、Cisco SocialMiner、Cisco Unified Intelligence Center (UIC)、Cisco Finesse、Cisco MediaSenseが対象となる。対象製品をリフレッシュアップグレードやプライムコラボレーションデプロイメントによるマイグレーションを行うと、エンジニアリングフラッグが無効となり、既知のパスワードでデバイスへのルートアクセスが可能になる脆弱性が存在する。この脆弱性が悪用されると、SFTPでアクセス可能な攻撃者にルートアクセスを取得され、システムが完全制御される恐れがある。同社はこの脆弱性を修正したアップデートを公開しており、アップデートによりこの脆弱性は修正される。
