Cisco ha lanzado un nuevo parche para abordar lo que describe como una vulnerabilidad de seguridad «crítica» que afecta a múltiples productos de comunicaciones unificadas (CM) e instancias dedicadas de Webex Calling. Esta vulnerabilidad se está explotando activamente como un ataque de día cero.
La vulnerabilidad CVE-2026-20045 (puntuación CVSS: 8,2) podría permitir que un atacante remoto no autenticado ejecute comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado.
«Esta vulnerabilidad se debe a una validación inadecuada de la entrada proporcionada por el usuario en una solicitud HTTP», dijo Cisco en un aviso. «Un atacante podría explotar esta vulnerabilidad enviando una serie de solicitudes HTTP diseñadas a la interfaz de administración basada en web de un dispositivo afectado. La explotación exitosa podría permitir al atacante obtener acceso a nivel de usuario al sistema operativo subyacente y escalar privilegios a root».
Agregó que la calificación grave otorgada a esta falla se debe al hecho de que, si se explota, esta falla podría permitir una escalada de privilegios para rootear. Esta vulnerabilidad afecta a los siguientes productos:
Unified CM Unified CM Edición de administración de sesiones (SME) Unified CM IM y servicio de presencia (IM&P) Unity Connection Instancia dedicada de Webex Calling
Este problema se ha resuelto en las siguientes versiones:
Instancias dedicadas de Cisco Unified CM, CM SME, CM IM&P y Webex Calling:
Versión 12.5: versión fija Migre a la versión 14 – 14SU5 o aplique el archivo de parche: ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512 Versión 15 – 15SU4 (marzo de 2026) o aplique el archivo de parche: ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512 o ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512
Conexión de unidad de Cisco
Versión 12.5: versión fija Migre a la versión 14 – 14SU5 o aplique el archivo de parche: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512 Versión 15 – 15SU4 (marzo de 2026) o aplique el archivo de parche: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
El gigante de equipos de redes también dijo que estaba «consciente de los intentos de explotar esta vulnerabilidad en la naturaleza» e instó a los clientes a actualizar a una versión de software fija que solucione el problema. Actualmente no existe ninguna solución alternativa. Se dice que un investigador externo anónimo descubrió e informó este error.
Debido a este desarrollo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2026-20045 a su Catálogo de vulnerabilidades explotadas conocidas (KEV) y requiere que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen una solución antes del 11 de febrero de 2026.
El descubrimiento de CVE-2026-20045 se produce menos de una semana después de que Cisco lanzara una actualización para otra vulnerabilidad de seguridad crítica explotada activamente (CVE-2025-20393, puntuación CVSS: 10.0) que afecta al software AsyncOS para Cisco Secure Email Gateway y Cisco Secure Email and Web Manager. Esta vulnerabilidad podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root.
Source link
