思科修復統一通信系統關鍵零日漏洞CVE

思科公司發布了最新安全補丁，修復了一個被描述為"關鍵級別"的安全漏洞，該漏洞影響多個統一通信產品和Webex Calling專用實例，目前已被黑客在野外作為零日漏洞積極利用。

漏洞詳情及影響

該漏洞編號為CVE-2026-20045，CVSS評分為8.2分，可能允許未經身份驗證的遠程攻擊者在受影響設備的底層操作系統上執行任意命令。

思科在安全公告中表示："此漏洞是由于對HTTP請求中用戶提供的輸入驗證不當造成的。攻擊者可以通過向受影響設備的基于Web的管理界面發送一系列精心制作的HTTP請求來利用此漏洞。成功利用可能允許攻擊者獲得對底層操作系統的用戶級訪問權限，然后將權限提升至root。"

該漏洞之所以被評為關鍵級別，是因為其利用可能允許權限提升到root級別。受影響的產品包括：

統一通信管理器

統一通信管理器會話管理版本

統一通信管理器即時消息和狀態服務

Unity Connection

Webex Calling專用實例

修復版本和補丁信息

思科已在以下版本中解決了該漏洞：

對于統一通信管理器、會話管理版本、即時消息和狀態服務，以及Webex Calling專用實例：

版本12.5需要遷移到修復版本

版本14需要升級到14SU5或應用補丁文件

版本15需要等待15SU4版本發布或應用相應補丁文件

對于Unity Connection產品：

版本12.5需要遷移到修復版本

版本14需要升級到14SU5或應用專用補丁

版本15需要等待15SU4版本或應用對應補丁文件

安全威脅和應對措施

這家網絡設備制造商還表示，它"已知曉此漏洞在野外的利用嘗試"，敦促客戶升級到修復的軟件版本以解決該問題。目前沒有可用的變通方法。一名匿名外部研究人員因發現并報告此漏洞而獲得致謝。

美國網絡安全和基礎設施安全局已將CVE-2026-20045添加到其已知被利用漏洞目錄中，要求聯邦民用行政部門機構在2026年2月11日之前應用修復程序。

CVE-2026-20045的發現距離思科發布另一個被積極利用的關鍵安全漏洞的更新不到一周時間，該漏洞影響思科安全電子郵件網關和思科安全電子郵件和Web管理器的AsyncOS軟件，CVSS評分為滿分10.0分，可能允許攻擊者以root權限執行任意命令。

Q&A

Q1：CVE-2026-20045漏洞的危險性有多大？

A：該漏洞CVSS評分為8.2分，屬于關鍵級別。攻擊者可以在未經身份驗證的情況下遠程執行任意命令，并能將權限提升至root級別，對系統安全造成嚴重威脅。目前已被黑客在野外積極利用。

Q2：哪些思科產品受到CVE-2026-20045漏洞影響？

A：受影響的產品包括統一通信管理器、統一通信管理器會話管理版本、統一通信管理器即時消息和狀態服務、Unity Connection，以及Webex Calling專用實例等多個統一通信產品。

Q3：如何修復CVE-2026-20045漏洞？

A：用戶需要根據產品版本升級到相應的修復版本或應用思科提供的補丁文件。版本12.5需要遷移到修復版本，版本14需要升級到14SU5，版本15需要等待15SU4發布或應用臨時補丁。目前沒有其他變通方法。