CVE-2026-20045

Nome do Software Vulnerável e Versões Afetadas Cisco Unified Communications Manager (Unified CM) versões anteriores a 12.5, 14SU5 e 15SU4 Cisco Unified Communications Manager Session Management Edition (Unified CM SME) versões anteriores a 12.5, 14SU5 e 15SU4 Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) versões anteriores a 12.5, 14SU5 e 15SU4 Cisco Unity Connection versões anteriores a 12.5, 14SU5 e 15SU4 Cisco Webex Calling Dedicated Instance versões anteriores a 12.5, 14SU5 e 15SU4

Description Existe um problema na interface de gerenciamento baseada na web devido à validação inadequada de entradas fornecidas pelo usuário em solicitações HTTP. Um invasor remoto não autenticado pode explorar isso enviando uma sequência de solicitações HTTP manipuladas, permitindo a execução de comandos arbitrários no sistema operacional subjacente. A exploração bem-sucedida concede acesso em nível de usuário, que pode então ser elevado para privilégios de root. Esta falha foi explorada ativamente e está incluída no catálogo de Vulnerabilidades Exploradas Conhecidas da CISA. Aproximadamente 1.300 instâncias do Cisco Unified CM estariam expostas à internet.

Recommendations Para Cisco Unified CM, CM SME, CM IM&P e Webex Calling, atualize para uma versão corrigida para a versão 12.5, ou aplique os patches 14SU5 ou 15SU4 (março de 2026). Para Cisco Unity Connection, atualize para uma versão corrigida para a versão 12.5, ou aplique os patches 14SU5 ou 15SU4 (março de 2026).