Cisco ha corregido una vulnerabilidad crítica en Cisco Meeting Management (CVE-2025-20156, CVSS 9.9) que permitía a atacantes remotos autenticados escalar privilegios a nivel de administrador.
El fallo se encuentra en la API REST del sistema y se debe a la falta de controles de autorización adecuados. Un atacante con acceso como video operator podría enviar solicitudes maliciosas a la API para obtener privilegios administrativos, lo que le permitiría modificar configuraciones, agregar usuarios y comprometer los nodos administrados.
Cisco recomienda a los usuarios actualizar sus sistemas lo antes posible para mitigar el riesgo.