Cisco opravila kritickú zero-day zraniteľnosť vo viacerých produktoch

Spoločnosť Cisco opravila kritickú aktívne zneužívanú zraniteľnosť CVE-2026-20045 vo viacerých svojich produktoch. Zraniteľnosť umožňuje neautentifikovanému útočníkovi vzdialene vykonávať systémové príkazy a získať oprávnenia používateľa root.

Zraniteľné systémy:

• Unified CM (CSCwr21851)
• Unified CM SME (CSCwr21851)
• Unified CM IM&P (CSCwr29216)
• Unity Connection (CSCwr29208)
• Webex Calling Dedicated Instance (CSCwr21851)

Opis činnosti:

CVE-2026-20045 (CVSS skóre 9,8)

Spoločnosť Cisco vydala bezpečnostné aktualizácie pre viacero produktov, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť, spočívajúcu v nesprávnom overovaní používateľských vstupov v rámci HTTP požiadaviek. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie príkazov operačného systému zariadenia, získanie neoprávneného prístupu do jeho systému a eskaláciu privilégií na úroveň používateľa root. Na to potrebuje poslať špeciálne vytvorenú HTTP požiadavku na webové manažmentové rozhranie zraniteľného zariadenia.

Americká CISA zraniteľnosť pridala do svojho zoznamu aktívne zneužívaných zraniteľností KEV (Known Exploited Vulnerabilities).

Možné škody:

• Vzdialené vykonávanie kódu
• Eskalácia privilégií

Odporúčania:

Spoločnosť Cisco odporúča bezodkladnú aktualizáciu zasiahnutých produktov aspoň na verziu 14SU5 alebo 15SU4, alebo inštaláciu záplaty pre podporované verzie podľa informácií na webstránke.

Odkazy:

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voice-rce-mORhqY4b
• https://nvd.nist.gov/vuln/detail/CVE-2026-20045
• https://www.cisa.gov/news-events/alerts/2026/01/21/cisa-adds-one-known-exploited-vulnerability-catalog