思科昨日釋出安全更新以修補存在整合通訊管理(Unified Communications Manager,Unified CM)系列,包括Webex產品一個可讓未經驗證的遠端攻擊者,在受害裝置上執行任意指令的重大漏洞。
編號CVE-2026-20045的漏洞出於Unified CM產品對使用者提出HTTP請求的輸入內容驗證不當。攻擊者可傳送變造一系列的HTTP請求到思科裝置的Web管理介面來濫用本漏洞。成功濫用可讓攻擊者取得底層OS的使用者層權限,然後再提升到Root層級。
本漏洞CVSS風險分數為8.2,思科表示,由於漏洞濫用可導致權限提升為Root,因此將該漏洞的安全影響評等列為「重大」,而非「高風險」。
該漏洞影響產品包括Unified Communications Manager(Unified CM)、Unified CM Session Management Edition(SME)、Unified Communications Manager IM & Presence Service(Unified CM IM&P)、Unity Connection以及Webex Calling Dedicated Instance。
思科已針對各項產品發布更新,並警告該漏洞沒有暫時解決方案。
思科產品安全事件回應小組(PSIRT)已發現網路上已有濫用本漏洞的活動,因此強烈建議用戶需儘速安裝更新版軟體以確保安全。
這是本月思科修補的第二批漏洞。兩星期前這項網路設備大廠還修補影響ISE(Identity Service Engine)、ISE-PIC一個可造成敏感資訊洩露的漏洞CVE-2026-20029,網路上已出現針對該漏洞的概念驗證(PoC)攻擊程式。
熱門新聞
2026-01-19
2026-01-20
2026-01-16
2026-01-20
2026-01-21
2026-01-19