Специалисты Positive Technologies выявили в Yealink Meeting Server уязвимость, позволяющую скомпрометировать систему видео-конференц-связи и развить атаку на внутреннюю сеть целевой организации.
Проблема, получившая 9,9 балла из 10 возможных по шкале CVSS, представляет собой возможность инъекции команд. В случае успешного эксплойта злоумышленник сможет выполнить на сервере любой код через манипуляцию процессом загрузки файлов.
Уязвимости подвержены все сборки продукта ниже 26.0.0.66. Обновление с патчем доступно с конца ноября; тем, кто его не установил, рекомендуется сделать это в кратчайшие сроки.
В середине января эксперты насчитали в Сети более 130 непропатченных экземпляров Yealink Meeting Server. Две трети из них находились в Китае и России.
Два года назад Positive Technologies помогла таким же образом устранить три уязвимости в продуктах Zoom. Две из них были оценены как очень опасные.
