Im Meeting Management von Cisco existiert eine kritische Sicherheitslücke. Der Hersteller warnt davor und hat zudem Schwachstellen in Broadworks und ClamAV mit Sicherheitsupdates geschlossen.

Die REST-API von Ciscos Meeting Management ist von der gravierendsten Sicherheitslücke betroffen. Cisco schreibt dazu: "Eine Schwachstelle in der REST-API von Cisco Meeting Management ermöglicht entfernten authentifizierten Angreifern mit niedrigen Rechten, ihre Rechte auf betroffenen Geräten zu Administrator heraufzustufen" (CVE-2025-20156, CVSS 9.9, Risiko "kritisch").

Nicht betroffen von der Lücke ist die Version 3.10. Die Aktualisierung für Version 3.9 auf Cisco Meeting Management 3.9.1 steht bereit.

Ciscos Broadworks ist von einer Denial-of-Service-Lücke betroffen (CVE-2025-20165, CVSS 7.5, hoch). Ab Version RI.2024.11 von Cisco Broadworks ist diese Lücke beseitigt.

Beim Verarbeiten von OLE2-Streams (Object Linking and Embedding 2) kann der Virenscanner ClamAV aufgrund eines Integer-Unterlaufs in einer Begrenzungsprüfung beim Lesen über Puffergrenzen hinausschießen, was offenbar zu einem Crash führt (CVE-2025-20128, CVSS 5.3, mittel). Der Fehler wurde in Secure Endpoint Connector for Linux 1.25.1, for Mac 1.24.4, for Windows 7.5.20 und 8.4.3 sowie for Private Cloud 4.2.0 mit aktualisierten Connectors behoben.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE