Yealink 感谢我们的专家发现了视频会议系统 Yealink Meeting Server 中的一个关键漏洞

该公司在全球 IP 电话市场排名第一，是五大线上会议解决方案供应商之一，其产品已在 140 多个国家和地区使用。

漏洞 YVD-2023-1257833 (BDU:2024-00482) 属于操作系统命令注入 (CWE-78) 类型，允许注入操作系统命令。该漏洞在 CVSS 3.0 评分系统中获得了 9.9 分。根据负责任的披露政策，供应商获知了这一威胁，并发布了软件更新以修复该漏洞。

PT SWARM 专家发现，如果没有隔离区（可从互联网访问并与其他资源隔离的局域网段）或隔离区设置不完善，攻击者从外部入侵 Yealink Meeting Server 后，可对内部网络发起攻击。利用这个漏洞，攻击者可以获得对企业网段的初始访问权限。

 1 月中旬，Positive Technologies 专家安全中心 (PT Expert Security Center) 的专家预估易受攻击的 Yealink Meeting Server 系统的数量为 131 个。大部分安装在中国 (42%)、俄罗斯 (26%)、波兰 (7%)、中国台湾 (4%)、德国 (2%)、巴西 (2%) 印度尼西亚 (2%)。

 要修复该漏洞，必须将 Yealink Meeting Server 更新到 26․0․0․66 版本。