思科公司发布了最新安全补丁,修复了一个被描述为"关键级别"的安全漏洞,该漏洞影响多个统一通信产品和Webex Calling专用实例,目前已被黑客在野外作为零日漏洞积极利用。
漏洞详情及影响
该漏洞编号为CVE-2026-20045,CVSS评分为8.2分,可能允许未经身份验证的远程攻击者在受影响设备的底层操作系统上执行任意命令。
思科在安全公告中表示:"此漏洞是由于对HTTP请求中用户提供的输入验证不当造成的。攻击者可以通过向受影响设备的基于Web的管理界面发送一系列精心制作的HTTP请求来利用此漏洞。成功利用可能允许攻击者获得对底层操作系统的用户级访问权限,然后将权限提升至root。"
该漏洞之所以被评为关键级别,是因为其利用可能允许权限提升到root级别。受影响的产品包括:
统一通信管理器
统一通信管理器会话管理版本
统一通信管理器即时消息和状态服务
Unity Connection
Webex Calling专用实例
修复版本和补丁信息
思科已在以下版本中解决了该漏洞:
对于统一通信管理器、会话管理版本、即时消息和状态服务,以及Webex Calling专用实例:
版本12.5需要迁移到修复版本
版本14需要升级到14SU5或应用补丁文件
版本15需要等待15SU4版本发布或应用相应补丁文件
对于Unity Connection产品:
版本12.5需要迁移到修复版本
版本14需要升级到14SU5或应用专用补丁
版本15需要等待15SU4版本或应用对应补丁文件
安全威胁和应对措施
这家网络设备制造商还表示,它"已知晓此漏洞在野外的利用尝试",敦促客户升级到修复的软件版本以解决该问题。目前没有可用的变通方法。一名匿名外部研究人员因发现并报告此漏洞而获得致谢。
美国网络安全和基础设施安全局已将CVE-2026-20045添加到其已知被利用漏洞目录中,要求联邦民用行政部门机构在2026年2月11日之前应用修复程序。
CVE-2026-20045的发现距离思科发布另一个被积极利用的关键安全漏洞的更新不到一周时间,该漏洞影响思科安全电子邮件网关和思科安全电子邮件和Web管理器的AsyncOS软件,CVSS评分为满分10.0分,可能允许攻击者以root权限执行任意命令。
Q&A
Q1:CVE-2026-20045漏洞的危险性有多大?
A:该漏洞CVSS评分为8.2分,属于关键级别。攻击者可以在未经身份验证的情况下远程执行任意命令,并能将权限提升至root级别,对系统安全造成严重威胁。目前已被黑客在野外积极利用。
Q2:哪些思科产品受到CVE-2026-20045漏洞影响?
A:受影响的产品包括统一通信管理器、统一通信管理器会话管理版本、统一通信管理器即时消息和状态服务、Unity Connection,以及Webex Calling专用实例等多个统一通信产品。
Q3:如何修复CVE-2026-20045漏洞?
A:用户需要根据产品版本升级到相应的修复版本或应用思科提供的补丁文件。版本12.5需要迁移到修复版本,版本14需要升级到14SU5,版本15需要等待15SU4发布或应用临时补丁。目前没有其他变通方法。
热门跟贴