聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
思科已修复位于 Unified Communications 和 Webex Calling中一个严重的RCE漏洞CVE-2026-20045。该漏洞已遭利用。
该漏洞影响思科 Unified CM、Unified CM SME、Unified CM IM & Presence、思科 Unity Connection和 Webex Calling Dedicated Instance。
思科在安全公告中提到,“该漏洞是因为对 HTTP 请求中用户提供的输入验证不当造成的。攻击者可将一系列构造的HTTP请求发送到受影响设备基于 web 的管理接口,利用该漏洞。成功利用该漏洞可导致攻击者获得对底层操作系统的用户级访问权限并提权至 root。”
虽然该漏洞的CVSS 评分为8.2,但由于利用该漏洞可获得服务器的根访问权限,思科将其研判为“严重”级别。思科已发布软件更新和修复文件修复该漏洞,涵盖Unified CM、Unified CM SME、Unified CM IM & Presence、思科 Unity Connection和 Webex Calling Dedicated Instance。
Cisco Unity Connection 发布:
思科表示补丁对应不同的版本,因此在应用补丁前应先查看 README 文件。思科产品安全事件响应团队已证实称该漏洞已遭在野利用,因此督促客户尽快更新至最新软件版本。另外,思科提到不存在缓解该漏洞的应变措施,因此须立即安装更新。
美国网络安全和基础设施安全局 (CISA) 已将该漏洞纳入其必修清单,并督促联邦机构在2026年2月11日前部署更新。本月早些时候,思科还修复了一个已存在利用代码的 ISE 漏洞,以及一个自11月起就遭利用的 AsyncOS 0day漏洞。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
思科:速修复已出现 exp 的身份服务引擎漏洞
思科修复 Contact Center Appliance 中的多个严重漏洞
速修复!思科ASA 两个0day漏洞已遭利用,列入 CISA KEV 清单
思科修复影响路由器和交换机的 0day 漏洞
思科 Nexus 交换机中存在高危DoS 漏洞
原文链接
https://www.bleepingcomputer.com/news/security/cisco-fixes-unified-communications-rce-zero-day-exploited-in-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
