news 2026/7/1 19:10:07

思科修复已遭利用的 Unified CM RCE 0day漏洞

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
思科修复已遭利用的 Unified CM RCE 0day漏洞

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

思科已修复位于 Unified Communications 和 Webex Calling中一个严重的RCE漏洞CVE-2026-20045。该漏洞已遭利用。

该漏洞影响思科 Unified CM、Unified CM SME、Unified CM IM & Presence、思科 Unity Connection和 Webex Calling Dedicated Instance。

思科在安全公告中提到,“该漏洞是因为对 HTTP 请求中用户提供的输入验证不当造成的。攻击者可将一系列构造的HTTP请求发送到受影响设备基于 web 的管理接口,利用该漏洞。成功利用该漏洞可导致攻击者获得对底层操作系统的用户级访问权限并提权至 root。”

虽然该漏洞的CVSS 评分为8.2,但由于利用该漏洞可获得服务器的根访问权限,思科将其研判为“严重”级别。思科已发布软件更新和修复文件修复该漏洞,涵盖Unified CM、Unified CM SME、Unified CM IM & Presence、思科 Unity Connection和 Webex Calling Dedicated Instance。

Cisco Unity Connection 发布:

思科表示补丁对应不同的版本,因此在应用补丁前应先查看 README 文件。思科产品安全事件响应团队已证实称该漏洞已遭在野利用,因此督促客户尽快更新至最新软件版本。另外,思科提到不存在缓解该漏洞的应变措施,因此须立即安装更新。

美国网络安全和基础设施安全局 (CISA) 已将该漏洞纳入其必修清单,并督促联邦机构在2026年2月11日前部署更新。本月早些时候,思科还修复了一个已存在利用代码的 ISE 漏洞,以及一个自11月起就遭利用的 AsyncOS 0day漏洞。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login


推荐阅读

思科:速修复已出现 exp 的身份服务引擎漏洞

思科修复 Contact Center Appliance 中的多个严重漏洞

速修复!思科ASA 两个0day漏洞已遭利用,列入 CISA KEV 清单

思科修复影响路由器和交换机的 0day 漏洞

思科 Nexus 交换机中存在高危DoS 漏洞

原文链接

https://www.bleepingcomputer.com/news/security/cisco-fixes-unified-communications-rce-zero-day-exploited-in-attacks/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “在看” 或 "赞” 吧~

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/6/22 17:35:45

社区养老试点:24小时语音监护老人异常行为与情绪

社区养老试点:24小时语音监护老人异常行为与情绪 在社区养老服务中心,一位独居老人凌晨三点突然剧烈咳嗽,随后传来茶杯摔落声和长时间沉默——传统跌倒报警器未触发,而值班人员正熟睡。三分钟后,系统自动拨通家属电话…

作者头像 李华
网站建设 2026/6/24 23:42:58

fft npainting lama初始化卡住?模型加载问题排查

FFT NPainting LaMa初始化卡住?模型加载问题排查 1. 问题现象与背景说明 1.1 用户常遇到的“卡在初始化”场景 你是否也遇到过这样的情况: 执行 bash start_app.sh 后,终端停在这一行不动了: Initializing model...或者更隐蔽…

作者头像 李华
网站建设 2026/6/26 2:33:34

STM32奇偶校验与软件模拟对比分析:全面讲解

以下是对您提供的博文内容进行 深度润色与结构重构后的专业级技术文章 。整体风格更贴近一位资深嵌入式工程师在技术博客或内部分享会上的自然讲述——逻辑清晰、语言精炼、有实战温度,同时彻底去除AI生成痕迹(如模板化句式、空洞总结、机械罗列&#…

作者头像 李华
网站建设 2026/6/23 7:37:46

Ubuntu 22.04服务器版libwebkit2gtk-4.1-0安装注意事项

以下是对您提供的博文内容进行 深度润色与结构重构后的技术文章 。整体遵循“去AI化、强工程感、重实操性、语言自然流畅”的原则,摒弃模板化标题和刻板逻辑链,以一位资深嵌入式/Linux系统工程师第一视角展开叙述,融合真实调试经验、踩坑复盘与架构思考,同时严格保留所有…

作者头像 李华
网站建设 2026/6/23 7:37:46

Qwen-Image-2512值得部署吗?真实出图效果与效率测评

Qwen-Image-2512值得部署吗?真实出图效果与效率测评 你是不是也刷到过那些让人眼前一亮的AI生成图——光影细腻、构图自然、细节丰富,甚至带点电影感?最近不少朋友在问:阿里新推的Qwen-Image-2512,真有那么强&#xf…

作者头像 李华
网站建设 2026/6/30 13:27:53

Coqui TTS + Speech Seaco Paraformer:构建完整语音交互系统

Coqui TTS Speech Seaco Paraformer:构建完整语音交互系统 语音交互正从实验室走向真实工作流——不是靠炫技的Demo,而是能每天帮你把会议录音转成可编辑文字、把采访音频变成结构化笔记、把零散语音片段合成自然播报的实用工具。本文不讲模型参数和训…

作者头像 李华