Positive Technologies 帮助修复了流行的 Yealink 视频会议系统中的一个危险漏洞

最新推荐文章于 2025-07-31 10:16:22 发布
最新推荐文章于 2025-07-31 10:16:22 发布
阅读量2.6k 收藏 10
点赞数 9
CC 4.0 BY-SA版权
分类专栏: Positive Technologies 网络安全 漏洞 文章标签: 安全 web安全 网络 Yealink 网络安全 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ptsecurity/article/details/136061577
全球领先的IP电话供应商Yealink的视频会议系统发现严重漏洞YVD-2023-1257833,威胁企业网络安全。攻击者可通过漏洞控制服务器执行操作系统命令,建议用户升级至26․0․0․66版本进行修复。据统计,中国、俄罗斯等多地系统易受攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Yealink 感谢我们的专家发现了视频会议系统 Yealink Meeting Server 中的一个关键漏洞

该公司在全球 IP 电话市场排名第一是五大线上会议解决方案供应商之一其产品已在 140 多个国家和地区使用。

漏洞 YVD-2023-1257833 (BDU:2024-00482属于操作系统命令注入 (CWE-78类型允许注入操作系统命令。该漏洞在 CVSS 3.0 评分系统中获得了 9.9 。根据负责任的披露政策,供应商获知了这一威胁,并发布了软件更新以修复该漏洞。

PT SWARM 专家发现,如果没有隔离区(可从互联网访问并与其他资源隔离的局域网段)或隔离区设置不完善,攻击者从外部入侵 Yealink Meeting Server 后,可对内部网络发起攻击。利用这个漏洞,攻击者可以获得对企业网段的初始访问权限。

 1 月中旬,Positive Technologies 专家安全中心 (PT Expert Security Center的专家预估易受攻击的 Yealink Meeting Server 系统的数量为 131 个。大部分安装在中国 (42%)、俄罗斯 (26%)、波兰 (7%)、中国台湾 (4%)、德国 (2%)、巴西 (2%) 印度尼西亚 (2%)

 要修复该漏洞必须将 Yealink Meeting Server 更新到 26․0․0․66 版本

飞视美 视频会议系统 Struts2 远程命令执行漏洞
LiBai'S BLOG
10-10 1557
飞视美(facemeeting):facemeeting,即飞视美,隶属飞鱼星科技有限公司,坐落在四川成都,以SAAS模式提供国际标准的多媒体通讯服务,为即租即用的全新一代视频会议产品。飞视美专注提供高效、智能的视频会议解决方案,服务中小企业各类会议、协同办公等领域,通过网络进行异地实时的音视频沟通,协助中小企业构建高效、智能的统一通信系统平台。飞视美 视频会议系统存在Struts2远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限。
漏洞复现 飞视美 视频会议系统 Struts2 远程命令执行漏洞
失心少年
06-27 340
飞视美(facemeeting):facemeeting,即飞视美,隶属飞鱼星科技有限公司,坐落在四川成都,以SAAS模式提供国际标准的多媒体通讯服务,为即租即用的全新一代视频会议产品。飞视美专注提供高效、智能的视频会议解决方案,服务中小企业各类会议、协同办公等领域,通过网络进行异地实时的音视频沟通,协助中小企业构建高效、智能的统一通信系统平台。此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。
linux 测试t3协议,Yealink网络电话SIP-T38G本地文件包含漏洞
weixin_39587238的博客
05-12 415
发布日期:2014-08-03更新日期:2014-08-11受影响系统:yealink SIP-T38G描述:--------------------------------------------------------------------------------CVE(CAN) ID: CVE-2013-5756SIP-T38G是亿联千兆彩屏网络电话。Yealink VoIP Phone ...
linux系统sip网络电话,Yealink网络电话SIP-T38G绝对路径遍历漏洞
weixin_39794734的博客
05-06 366
发布日期:2014-08-03更新日期:2014-08-11受影响系统:yealink SIP-T38G描述:--------------------------------------------------------------------------------CVE(CAN) ID: CVE-2013-5757SIP-T38G是亿联千兆彩屏网络电话。Yealink VoIP Phone ...
好视通视频会议系统存在任意文件读取漏洞复现 [附POC]
Liyu_6618的博客
03-02 1368
好视通视频会议系统存在任意文件读取漏洞复现 [附POC]
思科Webex在线视频会议软件曝命令注入漏洞
mozhe_的博客
10-29 422
两名安全研究人员于近日发布消息称,思科的WebEx在线视频会议软件受到一个严重漏洞的影响,该漏洞可以被利用来提供权限并执行任意命令。 这个安全漏洞由来自Counter Hack的Ron Bowes和Jeff McJunkin发现,并被命名为“WebExec”。为了让公众能够更加清楚地了解该漏洞,两名安全研究人员还为它专门建立了一个网站(webexec.org)。 该漏洞被追踪为CVE-2018...
视频会议室环境部署指引-Yealink.pdf
09-05
总结来说,创建一个高效的视频会议室环境需要综合考虑色彩、光线、声音和设备布局等多个因素。通过遵循这些指导原则,可以确保视频会议的清晰度、声音质量以及参会者的舒适度,从而提升会议体验。
【视频会议系列】亿联视频会议产品矩阵简介
热门推荐
优快云明星博主,认证博客专家,视频、Matlab领域优质创作者。
03-20 2万+
DATE: 2021.3.20 文章目录前言零、融合通信 UME一、视频话机 SIP二、视频会议系统 VCS (Video Conference System)(1)云视频会议:(2)会议室终端:三、视频会议服务器 YMS(Yealink Meeting Server):私有化部署四、USB设备五、微软Teams六、Zoom Rooms 前言 亿联网络对不同细分群体和场景的共性需求进行深入的总结和分析,推出了三大产品类型,包括面向桌面的语音终端、面向会议的会议音视频方案,以及面向个人场景的云办公终端,并打
Yealink VC Desktop1.28.0.72, 免费,局域网,IP电话, SIP, VOIP, 视频通话,可与手机互通,手机上也安装 yealink, apk包
12-26
Yealink VC Desktop通过融合IP电话和视频通话功能,为用户打造了一个全面、高效的通信平台。无论是在办公环境中,还是在家庭娱乐中,它都能够满足用户多样化的沟通需求。此外,与手机应用的互通性进一步扩展了其应用...
【行业应用案例分析】音视频会议系统集成案例:企业级视频会议部署
本章旨在为读者提供一个关于音视频会议系统集成的全面概述,涵盖其基本概念、市场背景以及系统集成的基本步骤和关键要素。我们将探讨音视频会议在企业和教育等多个领域的应用,并分析其在不同环境下的使用模式,从而...
XX公司高清视频会议系统解决方案
"高清视频会议系统解决方案-8方以上" 该文档详细介绍了某高清视频会议系统的解决方案,适用于8方以上的多方通信场景。这个系统旨在满足大型企业或组织的高效沟通需求,尤其是在有多地分支机构的情况下。以下是对...
亿联VC880视频会议终端常见问题汇总
qian556688的博客
09-10 1717
亿联(Yealink)VC880大型会议室集成终端常见问题解答如下: VC880可以接多个第三方摄像机吗? VC880最多可以支持两路第三方摄像头,一路连接VC800后面的camera口,一路VC800连接辅流盒子的HDMI口。 VC880支持两路视频矩阵输入HDMI信号吗? 一路可以接第三方摄像机口输入,另外一路接辅流盒子输入口实现。 [VC880](https://www.yealink.com.cn/product/video-conferencing-solutions
yealink学习笔记20200429tftpd32的使用、md命令、pri(printenv)命令
dylanhu的博客
04-30 717
tftbd32软件的学习 1、需要上传至设备文件所存放的文件夹 2、主机ip 3.查看文件夹内的文件 使用一下命令进行文件上传 1、首先进行配置网络 setenv ipaddr 设备ip setenv netmask 设备子网掩码 setenv serverip 主机ip setenv gatewayip 默认网关 saveenv //保存配置 配置网络完成之后需要用pi...
亿联视频会议云管理服务平台震撼上市
weixin_34080571的博客
09-05 273
8月4日,全球UC终端解决方案提供商亿联公司(Yealink)全新产品——亿联视频会议云管理服务平台上市。 这是一款基于云架构的管理应用服务,集注册服务器、穿透服务器、企业地址本服务器于一身,帮助企业破解视频会议部署成本高、没有公网IP地址和分会场无法互通等难题,帮助企业打造简单、高效、易用的视频沟通平台。 亿联为什么会推出视频会议云管理服务平台? ...
yealink学习笔记20200430uboot命令、emmc、Nand flash、Nor flash之间的区别、emmc、nand flash的读写操作
dylanhu的博客
04-30 1298
uboot命令详解 1、bootm bootm [addr [arg ...]] - boot application image stored in memory passing arguments 'arg ...'; when booting a Linux kernel, 'arg' can be the address of ...
好视通视频会议平台系统漏洞复现
千寻的博客
05-21 2250
文章目录漏洞名称漏洞编号漏洞描述影响版本漏洞点fofa漏洞复现一第一步 查看登录界面第二步 使用弱口令第三步 进入系统第四步 任意文件读取摘抄 漏洞名称 弱口令 任意文件下载 漏洞编号 CNVD-2020-62437 https://www.cnvd.org.cn/flaw/show/CNVD-2020-62437 漏洞描述 好视通云会议是一款高效、便捷、低成本的网络视频会议产品,通过电脑或手机登录好视通云平台, 便可快速地与全球各地团队进行实时音视频沟通,并可同步分享各类数据文档。 好视通视频会
2021年网络安全设备漏洞集合
weixin_47536169的博客
07-13 3969
360天擎SQL注入漏洞 描述 fofa title="360新天擎" POC & 利用 /api/dp/rptsvcsyncpoint?ccid=1 360天擎信息泄露 描述 /api/dbstat/gettablessize POC & 利用 Alibaba 阿里巴巴Nacos认证绕过 描述 fofa:title="Nacos" POC & EXP # 添加用户 POST /nacos/v1/auth/users HTTP/1.1 ..
点击劫持:潜藏在指尖的安全陷阱
fys15925190510的博客
07-27 996
随后,通过代码将这些恶意元素设置为全透明状态,并精准覆盖在用户可能点击的正常按钮上,如 “关闭广告”“查看详情” 等。在网页端,攻击者可能搭建一个看似正常的视频网站,当用户点击 “播放” 按钮时,透明的恶意元素会引导用户点击 “确认下载某软件”,而该软件实则为病毒或挖矿程序。例如,当用户在某款工具类 APP 中点击 “领取优惠券” 时,实际触发的是 “允许该应用发送付费短信” 的授权弹窗,导致手机被强制扣除话费。例如,点击后弹出带有随机验证码的确认框,或要求用户拖动滑块完成验证,确保操作是用户的真实意图。
金融专题|某跨境支付机构:以榫卯企业云平台 VPC 功能保障业务主体安全
最新发布
SmartX 超融合
07-31 507
业务隔离,灵活互访,安全管理,精简运维。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值