Cisco heeft nieuwe patches uitgebracht om wat het omschreef als een ‘kritiek’ beveiligingsprobleem aan te pakken dat gevolgen heeft voor meerdere Unified Communications (CM)-producten en Webex Calling Dedicated Instance dat actief is uitgebuit als een zero-day in the wild.
Het beveiligingslek, CVE-2026-20045 (CVSS-score: 8,2), kan een niet-geverifieerde externe aanvaller in staat stellen willekeurige opdrachten uit te voeren op het onderliggende besturingssysteem van een gevoelig apparaat.
“Deze kwetsbaarheid is te wijten aan onjuiste validatie van door de gebruiker aangeleverde invoer in HTTP-verzoeken”, aldus Cisco in een advies. “Een aanvaller zou misbruik kunnen maken van dit beveiligingslek door een reeks vervaardigde HTTP-verzoeken naar de webgebaseerde beheerinterface van een getroffen apparaat te sturen. Een succesvolle exploit zou de aanvaller in staat kunnen stellen toegang op gebruikersniveau te verkrijgen tot het onderliggende besturingssysteem en vervolgens de rechten naar root te verhogen.”
De kritische waardering voor de fout is te wijten aan het feit dat de exploitatie ervan een escalatie van privileges naar root mogelijk zou kunnen maken, voegde het eraan toe. De kwetsbaarheid heeft gevolgen voor de volgende producten:
- Uniforme CM
- Unified CM Session Management-editie (SME)
- Uniforme CM IM- en aanwezigheidsservice (IM&P)
- Eenheidsverbinding
- Webex Calling-specifieke instantie
Het is aangepakt in de volgende versies –
Cisco Unified CM, CM SME, CM IM&P en Webex Calling toegewezen exemplaar –
- Release 12.5 – Migreren naar een vaste release
- Release 14 – 14SU5 of pas patchbestand toe: ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512
- Release 15 – 15SU4 (maart 2026) of pas patchbestand toe: ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512 of ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512
Cisco Unity-verbinding
- Release 12.5 – Migreren naar een vaste release
- Release 14 – 14SU5 of pas patchbestand toe: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
- Release 15 – 15SU4 (maart 2026) of pas patchbestand toe: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
De grote netwerkapparatuur zei ook dat het “op de hoogte was van pogingen tot misbruik van deze kwetsbaarheid in het wild”, en drong er bij klanten op aan om te upgraden naar een vaste softwareversie om het probleem op te lossen. Er zijn momenteel geen oplossingen. Een anonieme externe onderzoeker is gecrediteerd voor het ontdekken en rapporteren van de bug.
Deze ontwikkeling heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet om CVE-2026-20045 toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor de Federal Civilian Executive Branch (FCEB)-agentschappen de oplossingen vóór 11 februari 2026 moeten toepassen.
De ontdekking van CVE-2026-20045 komt minder dan een week nadat Cisco updates heeft uitgebracht voor een ander actief misbruikt kritiek beveiligingsprobleem dat AsyncOS Software voor Cisco Secure Email Gateway en Cisco Secure Email and Web Manager treft (CVE-2025-20393, CVSS-score: 10,0), waardoor een aanvaller willekeurige opdrachten met rootrechten kan uitvoeren.
