Cisco ha lanzado nuevos parches para abordar una vulnerabilidad de seguridad “crítica” que afecta a múltiples productos de Comunicaciones Unificadas (CM) y Webex Calling Dedicated Instance que ha sido explotada activamente como una vulnerabilidad de día cero.
La vulnerabilidad CVE-2026-20045 (puntuación CVSS: 8,2) podría permitir que un atacante remoto no autenticado ejecute comandos arbitrarios en el sistema operativo subyacente de un dispositivo vulnerable.
“Esta vulnerabilidad se debe a una validación inadecuada de la entrada del usuario en las solicitudes HTTP”, dijo Cisco en un aviso. “Un atacante podría explotar esta vulnerabilidad enviando una secuencia de solicitudes HTTP diseñadas a la interfaz de administración basada en web de un dispositivo afectado. Una explotación exitosa podría permitir al atacante obtener acceso a nivel de usuario al sistema operativo subyacente y luego elevar los privilegios a root”.
La evaluación crítica de la falla se debe al hecho de que su explotación podría permitir que se arraigue la escalada de privilegios, agregó. La vulnerabilidad afecta a los siguientes productos:
- CM unificado
- Edición de gestión de sesiones de CM unificada (SME)
- Servicio unificado de mensajería instantánea y presencia (IM&P)
- Conexión de unidad
- Webex invoca una instancia dedicada
Se ha solucionado en las siguientes versiones:
Instancia dedicada de Cisco Unified CM, CM SME, CM IM&P y Webex Calling:
- Versión 12.5: migrar a una versión fija
- Versión 14 – 14SU5 o aplique el archivo de parche: ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512
- Versión 15 – 15SU4 (marzo de 2026) o aplique el archivo de parche: ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512 o ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512
Conexión de unidad de Cisco
- Versión 12.5: migrar a una versión fija
- Versión 14 – 14SU5 o aplique el archivo de parche: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
- Versión 15 – 15SU4 (marzo de 2026) o aplique el archivo de parche: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
El especialista en equipos de red también dijo que estaba “consciente de un intento de explotación de esta vulnerabilidad” e instó a los clientes a actualizar a una versión fija del software para resolver el problema. Actualmente no existen soluciones alternativas. El descubrimiento y el informe del error se atribuyen a un investigador externo anónimo.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar CVE-2026-20045 a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que requiere que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 11 de febrero de 2026.
El descubrimiento de CVE-2026-20045 se produce menos de una semana después de que Cisco publicara actualizaciones para otra vulnerabilidad crítica explotada activamente que afecta el software AsyncOS para Cisco Secure Email Gateway y Cisco Secure Email and Web Manager (CVE-2025-20393, puntuación CVSS: 10.0), que podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root.
About The Author
