Se ha descubierto una vulnerabilidad de severidad Alta en productos Cisco. Un actor malicioso podría ejecutar comandos arbitrarios y elevar privilegios en los sistemas afectados.
Productos afectados
- Cisco Unified Communications Manager (Unified CM): versiones anteriores a la 12.5(1)SU14, 14SU5 y 15SU5.
- Cisco Unified CM Session Management Edition (Unified CM SME): versiones anteriores a la 12.5(1)SU14, 14SU5 y 15SU5.
- Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P): versiones anteriores a la 12.5(1)SU14, 14SU5 y 15SU5.
- Cisco Unity Connection: versiones anteriores a la 12.5(1)SU14, 14SU5 y 15SU5.
- Cisco Webex Calling Dedicated Instance: versiones anteriores a la 12.5(1)SU14, 14SU5 y 15SU5.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–20045: con una puntuación de 8.2 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código debido a una validación de entrada incorrecta en la interfaz de administración web. Un actor malicioso remoto no autenticado podría enviar una secuencia de solicitudes HTTP diseñadas para permitir la ejecución de comandos arbitrarios en el sistema operativo subyacente y obtener una escalada de privilegios.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias