سیسکو به‌روزرسانی‌های امنیتی تازه‌ای منتشر کرده است تا یک نقص با شدت بالا در برنامه Webex را که مهاجمان بدون احراز هویت می‌توانند از آن برای اجرای کد از راه دور (RCE) سوءاستفاده کنند، برطرف کند. این آسیب‌پذیری با شناسه CVE-2025-20236 در ماژول تجزیه آدرس‌های سفارشی Webex کشف شده است و به دلیل اعتبارسنجی ناکافی ورودی‌ها هنگام پردازش لینک‌های دعوت به جلسه ایجاد می‌شود.

در سناریوی حمله، هکر تنها کافی است یک لینک دعوت دستکاری‌شده برای کاربر ارسال کند. با کلیک قربانی روی لینک، فایل دلخواه مهاجم بارگیری و سپس با سطح دسترسی همان کاربر اجرا می‌شود؛ بنابراین پیچیدگی حمله پایین بوده و نیازی به تعامل قبلی با سامانه یا گذرواژه وجود ندارد. این باگ همه نصب‌های Webex روی هر سیستم‌عاملی را تحت تأثیر قرار می‌دهد و هیچ راهکار موقتی برای مهار آن ارائه نشده است؛ تنها راه، به‌روزرسانی نرم‌افزار است.

سیسکو نسخه‌های ایمن را چنین اعلام کرده است: در شاخه 44.6 تنها بیلد 44.6.2.30589 ایمن است؛ کاربران نسخه 44.7 باید به یک بیلد دارای وصله منتقل شوند و شاخه‌های 44.5 و قدیمی‌تر، همچنین نسخه‌های 44.8 به بعد، به ترتیب غیرآسیب‌پذیر و ایمن گزارش شده‌اند. مدیران باید اطمینان یابند که به‌روزرسانی خودکار Webex فعال است یا فوراً بسته‌های وصله را به‌صورت دستی نصب کنند.

علاوه بر این نقص، سیسکو همین هفته ایراد ارتقای دسترسی CVE-2025-20178 در رابط مدیریت Secure Network Analytics و ضعف CVE-2025-20150 در Nexus Dashboard را که امکان شناسایی حساب‌های LDAP را به مهاجم می‌دهند، رفع کرده است. همچنین آسیب‌پذیری حیاتی CVE-2024-20439 در Cisco Smart Licensing Utility که حساب مدیریتی پنهانی را افشا می‌کند، از اسفند گذشته در حملات واقعی بهره‌برداری می‌شود و در فهرست آسیب‌پذیری‌های بهره‌برداری‌شده CISA قرار دارد. با این حال تیم PSIRT سیسکو می‌گوید تاکنون شواهدی از سوءاستفاده فعال از نقص‌های وصله‌شده این هفته مشاهده نشده است.

با توجه به امکان اجرای فرمان با سطح دسترسی کاربر و گستره وسیع کاربران Webex، توصیه می‌شود تیم‌های امنیتی فوراً همه کلاینت‌ها را به نسخه‌های ایمن ارتقا دهند، گزارش‌ها را برای دانلودهای غیرعادی از طریق لینک‌های جلسه پایش کنند و سیاست‌های محدودکننده در پذیرش URLهای سفارشی را مدنظر قرار دهند. عدم اقدام سریع می‌تواند به نفوذ کامل مهاجمان به ایستگاه‌های کاری منتهی شود که تبعات جبران‌ناپذیری برای داده‌ها و اعتبار سازمان خواهد داشت.