CVE-2025-20236：Cisco Webex 应用程序会议链接漏洞可致远程代码执行

Cisco Webex 应用程序中存在一个严重漏洞，攻击者可能利用该漏洞，通过精心构造的会议邀请链接在目标系统上执行恶意代码。

这一高严重性漏洞被追踪编号为 CVE-2025-20236，促使 Cisco 公司为这款广受欢迎的协作平台的受影响版本发布了紧急补丁。

该安全漏洞的通用漏洞评分系统（CVSS）基础评分为 8.8（高危），存在于 Cisco Webex 应用程序的自定义 URL 解析器组件中。

Cisco Webex 应用程序远程代码执行漏洞

根据 Cisco 的安全公告（cisco-sa-webex-app-client-rce-ufyMMYLC），该漏洞源于 “Cisco Webex 应用程序在处理会议邀请链接时输入验证不足”。

这一缺陷使得攻击者能够在受害者的系统上交付并执行任意代码。该漏洞被归类为 CWE-829，与包含来自不受信任控制范围的功能相关。

此漏洞完整的 CVSS 向量字符串表明，利用该漏洞需要用户交互，但却能完全破坏数据的保密性、完整性和系统的可用性。

利用这一漏洞的攻击链十分直接明了。攻击者首先精心构造一个恶意的 Webex 会议 URL，利用 URL 解析器的漏洞。

当毫无防备的用户点击这个被植入恶意程序的会议链接时，存在漏洞的 Webex 客户端在没有进行适当验证的情况下处理该链接，从而允许任意文件被下载。

这一漏洞尤为危险，因为它可能导致以目标用户的权限执行远程代码。

一旦通过精心构造的链接下载了任意文件，无需额外的授权要求，就可以在受害者的系统上执行命令。

该漏洞是在 Cisco 的内部安全测试中被发现的，这表明在恶意行为者能够在现实环境中发现并利用该漏洞之前，它就已被识别并进行了修复。

受影响的系统

根据 Cisco 在 2025 年 4 月 16 日发布的公告，该漏洞影响所有操作系统和配置下特定版本的 Cisco Webex 应用程序。以下版本存在漏洞：

1.Cisco Webex 应用程序 44.6 版本（44.6.2.30589 版本之前）

2.Cisco Webex 应用程序 44.7 版本（所有版本）

值得注意的是，此漏洞不影响 44.5 及更早版本，以及 44.8 及更高版本。

Cisco 已发布了针对该漏洞的安全更新。对于运行 44.6 版本的用户，升级到 44.6.2.30589 或更高版本将修复该漏洞。

44.7 版本的用户必须迁移到一个已修复的版本，因为该版本没有直接可用的补丁。

该公司指出，对于此漏洞没有可用的解决方法，因此打补丁是唯一有效的缓解策略。强烈建议使用 Cisco Webex 应用程序的组织立即更新其安装版本。

尽管 Cisco 产品安全事件响应团队（PSIRT）表示他们 “未发现有关该漏洞的任何公开声明或恶意利用情况”，但安全专家警告称，既然该漏洞已被披露，恶意利用可能会迅速发生。

鉴于该漏洞的高 CVSS 评分以及 Webex 在企业环境中的广泛使用，各组织应优先进行补丁更新。