Cisco ha publicado actualizaciones de seguridad para abordar una vulnerabilidad en Unified Communications Manager (Unified CM) y Unified Communications Manager Session Management Edition (Unified CM SME) que podría permitir a un actor malicioso iniciar sesión en un dispositivo susceptible como usuario root, obteniendo privilegios elevados.
Productos afectados
- Unified Communications Manager (CM), versiones 15.0.1.13010-1 a 15.0.1.13017-1
- Unified Communications Manager Session Management Edition (CM SME), versiones 15.0.1.13010-1 a 15.0.1.13017-1
Impacto
La vulnerabilidad se haidentificado como:
CVE-2025-20309: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de credenciales de usuario estáticas para la cuenta raíz, reservadas para su uso durante el desarrollo. Esta podría permitir que un actor malicioso remoto no autenticado inicie sesión en un dispositivo afectado utilizando la cuenta raíz, que tiene credenciales estáticas predeterminadas que no se pueden modificar ni eliminar.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssh-m4UBdpE7
- https://nvd.nist.gov/vuln/detail/CVE-2025-20309