Cisco heeft meerdere kritieke beveiligingslekken gedicht in Unified Contact Center Express (UCCX), de contactcenteroplossing voor middelgrote organisaties waarmee tot 400 agents kunnen werken.

 

Het ernstigste kwetsbaarheid (CVE-2025-20354, score 9.8 op een schaal van 1 tot 10) maakte het mogelijk dat een ongeauthenticeerde aanvaller via het Java Remote Method Invocation-proces willekeurige bestanden kon uploaden en vervolgens commando’s met rootrechten kon uitvoeren. Een tweede lek in de CCX Editor-applicatie (CVE-2025-20358, score 9.4) maakt het mogelijk om de authenticatie te omzeilen en scripts met admin-rechten uit te voeren.

Geen workarounds

Beveiligingsonderzoeker Jahmel Harris ontdekte de eerste kwetsbaarheid. Cisco bracht afgelopen week patches uit. Er zijn geen tijdelijke workarounds beschikbaar: zonder update blijft volledige systeemcompromittering mogelijk. Cisco heeft tot nu toe geen aanwijzingen voor actief misbruik gemeld.

Naast de meldingen over UCCX waarschuwde Cisco gelijktijdig voor andere ernstige kwetsbaarheden in producten zoals Identity Services Engine (ISE) en diverse contactcentercomponenten, maar Unified Contact Center Enterprise (CCE) en Packaged CCE (PCCE) zijn niet getroffen.

Cisco heeft benadrukt dat de kwetsbaarheden effect hebben op alle UCCX-configuraties, ongeacht schaal of deploymentmodel (on-premises of hybride). Organisaties wordt dringend geadviseerd direct te patchen om misbruik te voorkomen, zoals het overnemen van klantenserviceomgevingen of het onderscheppen van klantcommunicatie. (Cisco, Bleeping Computer)

Technologie