[TLP:CLEAR] Cisco opravuje kritickou, aktivně zneužívanou zranitelnost

Cisco verzemi 14SU5 a 15SU4 (03/2026) opravuje kritickou, aktivně zneužívanou zranitelnost v následujících produktech [1][2]: - Unified Communications Manager (Unified CM) - Cisco Unified Communications Manager Session Management Edition (Unified CM SME) - Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) - Cisco Unity Connection - Cisco Webex Calling Dedicated Instance Záplata pro Cisco Unity Connection ve verzi 14 je dispozici na [3], ve verzi 15 na [4]. Záplatu pro ostatní produkty ve verzi 14 naleznete na [5], ve verzi 15 na [6][7].

Cisco Unified CM, Webex & Unity Connection - RCE, privilege escalation (CVE-2026-20045)
CVSS 8.2 (High)

Neautentizovanému vzdálenému útočníkovi je zasíláním speciálně upravených HTTP požadavků na administrační webové rozhraní umožněno spouštět libovolné příkazy v operačním systému postiženého zařízení a poté zvýšit svá oprávnění na root [1].

Zranitelnost se nachází v produktech:

  • Cisco Unified Communications Manager ve verzích (>=12.5(1) AND <=12.5(1)SU9) OR (>=14 AND <14SU5) OR (>=15 AND <15SU4)
  • Cisco Unified Communications Manager IM and Presence Service ve verzích (>=12.5(1) AND <=12.5(1)SU9) OR (>=14 AND <14SU5) OR (>=15 AND <15SU4)
  • Cisco Unified Communications Manager Session Management Edition ve verzích (>=12.5(1) AND <=12.5(1)SU9) OR (>=14 AND <14SU5) OR (>=15 AND <15SU4)
  • Cisco Unity Connection ve verzích (>=12.5(1) AND <=12.5(1)SU9) OR (>=14 AND <14SU5) OR (>=15 AND <15SU4)
  • Webex Calling Dedicated Instance ve verzích (>=12.5(1) AND <=12.5(1)SU9) OR (>=14 AND <14SU5) OR (>=15 AND <15SU4)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Více informací:

Zranitelnost byla veřejně oznámena 21. 1. 2026.

Za CESNET-CERTS Michaela Ručková dne 22. 1. 2026.

CESNET-CERTS Logo