Cisco ha lanzado nuevos parches para abordar lo que describió como una vulnerabilidad de seguridad «crítica» que afecta a múltiples productos de Comunicaciones Unificadas (CM) y Webex Calling Dedicated Instance que ha sido explotada activamente como un día cero en la naturaleza.
La vulnerabilidad, CVE-2026-20045 (puntuación CVSS: 8,2), podría permitir que un atacante remoto no autenticado ejecute comandos arbitrarios en el sistema operativo subyacente de un dispositivo susceptible.
«Esta vulnerabilidad se debe a una validación inadecuada de la entrada proporcionada por el usuario en las solicitudes HTTP», Cisco dicho en un aviso. «Un atacante podría explotar esta vulnerabilidad enviando una secuencia de solicitudes HTTP diseñadas a la interfaz de administración basada en web de un dispositivo afectado. Una explotación exitosa podría permitir al atacante obtener acceso a nivel de usuario al sistema operativo subyacente y luego elevar los privilegios a root».
La calificación crítica de la falla se debe al hecho de que su explotación podría permitir una escalada de privilegios hasta la raíz, agregó. La vulnerabilidad afecta a los siguientes productos:
- CM unificado
- Edición de gestión de sesiones de CM unificada (SME)
- Servicio unificado de mensajería instantánea y presencia (IM&P)
- Conexión de unidad
- Instancia dedicada de llamadas de Webex
Se ha abordado en las siguientes versiones:
Instancia dedicada de Cisco Unified CM, CM SME, CM IM&P y Webex Calling:
- Versión 12.5: migrar a una versión fija
- Versión 14 – 14SU5 o aplique el archivo de parche: ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512
- Versión 15 – 15SU4 (marzo de 2026) o aplique el archivo de parche: ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512 o ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512
Conexión de unidad de Cisco
- Versión 12.5: migrar a una versión fija
- Versión 14 – 14SU5 o aplique el archivo de parche: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
- Versión 15 – 15SU4 (marzo de 2026) o aplique el archivo de parche: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
La empresa de equipos de redes también dijo que está «consciente de un intento de explotación de esta vulnerabilidad en la naturaleza», e instó a los clientes a actualizar a una versión de software fija para solucionar el problema. Actualmente no existen soluciones alternativas. A un investigador externo anónimo se le atribuye el mérito de descubrir e informar el error.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar CVE-2026-20045 a sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 11 de febrero de 2026.
El descubrimiento de CVE-2026-20045 se produce menos de una semana después de que Cisco publicara actualizaciones para otra vulnerabilidad de seguridad crítica explotada activamente que afecta al software AsyncOS para Cisco Secure Email Gateway y Cisco Secure Email and Web Manager (CVE-2025-20393puntuación CVSS: 10.0) que podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root.
Fuente