思科公司發布了最新安全補丁 , 修復了一個被描述為\"關鍵級別\"的安全漏洞 , 該漏洞影響多個統一通信產品和Webex Calling專用實例 , 目前已被黑客在野外作為零日漏洞積極利用 。
漏洞詳情及影響
該漏洞編號為CVE-2026-20045 , CVSS評分為8.2分 , 可能允許未經身份驗證的遠程攻擊者在受影響設備的底層操作系統上執行任意命令 。
思科在安全公告中表示:\"此漏洞是由于對HTTP請求中用戶提供的輸入驗證不當造成的 。 攻擊者可以通過向受影響設備的基于Web的管理界面發送一系列精心制作的HTTP請求來利用此漏洞 。 成功利用可能允許攻擊者獲得對底層操作系統的用戶級訪問權限 , 然后將權限提升至root 。 \"
該漏洞之所以被評為關鍵級別 , 是因為其利用可能允許權限提升到root級別 。 受影響的產品包括:
統一通信管理器
統一通信管理器會話管理版本
統一通信管理器即時消息和狀態服務
Unity Connection
Webex Calling專用實例
修復版本和補丁信息
思科已在以下版本中解決了該漏洞:
對于統一通信管理器、會話管理版本、即時消息和狀態服務 , 以及Webex Calling專用實例:
版本12.5需要遷移到修復版本
版本14需要升級到14SU5或應用補丁文件
版本15需要等待15SU4版本發布或應用相應補丁文件
對于Unity Connection產品:
版本12.5需要遷移到修復版本
版本14需要升級到14SU5或應用專用補丁
版本15需要等待15SU4版本或應用對應補丁文件
安全威脅和應對措施
這家網絡設備制造商還表示 , 它\"已知曉此漏洞在野外的利用嘗試\" , 敦促客戶升級到修復的軟件版本以解決該問題 。 目前沒有可用的變通方法 。 一名匿名外部研究人員因發現并報告此漏洞而獲得致謝 。
美國網絡安全和基礎設施安全局已將CVE-2026-20045添加到其已知被利用漏洞目錄中 , 要求聯邦民用行政部門機構在2026年2月11日之前應用修復程序 。
CVE-2026-20045的發現距離思科發布另一個被積極利用的關鍵安全漏洞的更新不到一周時間 , 該漏洞影響思科安全電子郵件網關和思科安全電子郵件和Web管理器的AsyncOS軟件 , CVSS評分為滿分10.0分 , 可能允許攻擊者以root權限執行任意命令 。
Q&A
Q1:CVE-2026-20045漏洞的危險性有多大?
A:該漏洞CVSS評分為8.2分 , 屬于關鍵級別 。 攻擊者可以在未經身份驗證的情況下遠程執行任意命令 , 并能將權限提升至root級別 , 對系統安全造成嚴重威脅 。 目前已被黑客在野外積極利用 。
Q2:哪些思科產品受到CVE-2026-20045漏洞影響?
A:受影響的產品包括統一通信管理器、統一通信管理器會話管理版本、統一通信管理器即時消息和狀態服務、Unity Connection , 以及Webex Calling專用實例等多個統一通信產品 。
【思科修復統一通信系統關鍵零日漏洞CVE】Q3:如何修復CVE-2026-20045漏洞?
A:用戶需要根據產品版本升級到相應的修復版本或應用思科提供的補丁文件 。 版本12.5需要遷移到修復版本 , 版本14需要升級到14SU5 , 版本15需要等待15SU4發布或應用臨時補丁 。 目前沒有其他變通方法 。
推薦閱讀
- 澎湃OS再次公布進展通報:大量新機遇到問題,卻只修復了一項!
- 1.8GB更新包推送,澎湃OS3這波修復太反常,K60用戶撿到寶了
- 格羅方德收購新思科技處理器IP解決方案業務
- 新思科技出售ARC業務,格芯接手
- Veeam修復CVSS評分9.0的嚴重遠程代碼執行漏洞
- 澎湃OS再次公布進展通報:老機型問題已修復,新機還在排查中!
- TOTOLINK EX200存在未修復固件漏洞可被完全遠程接管
- 澎湃OS再次公布進展通報:1個問題已修復,9個問題涉及17 Ultra等機型
- 鴻蒙6.0.0.120 SP6突然推送:僅修復一個Bug,你遇到了嗎?
- iOS 27前瞻:專注性能與修復,AI與多任務成亮點