Cisco ha atrevido nuevos parches para topar lo que describió como una vulnerabilidad de seguridad “crítica” que afecta a múltiples productos de Comunicaciones Unificadas (CM) y Webex Calling Dedicated Instance que ha sido explotada activamente como un día cero en la naturaleza.
La vulnerabilidad, CVE-2026-20045 (puntuación CVSS: 8,2), podría permitir que un atacante remoto no autenticado ejecute comandos arbitrarios en el sistema activo subyacente de un dispositivo susceptible.
“Esta vulnerabilidad se debe a una subsistencia inadecuada de la entrada proporcionada por el heredero en las solicitudes HTTP”, dijo Cisco en un aviso. “Un atacante podría explotar esta vulnerabilidad enviando una secuencia de solicitudes HTTP diseñadas a la interfaz de compañía basada en web de un dispositivo afectado. Una explotación exitosa podría permitir al atacante obtener golpe a nivel de heredero al sistema activo subyacente y luego elevar los privilegios a root”.
La calificación crítica de la error se debe al hecho de que su explotación podría permitir una ascenso de privilegios hasta la raíz, agregó. La vulnerabilidad afecta a los siguientes productos:
- CM unificado
- Tiraje de diligencia de sesiones de CM unificada (SME)
- Servicio unificado de transporte instantánea y presencia (IM&P)
- Conexión de mecanismo
- Instancia dedicada de llamadas de Webex
Se ha abordado en las siguientes versiones:
Instancia dedicada de Cisco Unified CM, CM SME, CM IM&P y Webex Calling:
- Traducción 12.5: portar a una traducción fija
- Traducción 14 – 14SU5 o aplique el archivo de parche: ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512
- Traducción 15 – 15SU4 (marzo de 2026) o aplique el archivo de parche: ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512 o ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512
Conexión de mecanismo de Cisco
- Traducción 12.5: portar a una traducción fija
- Traducción 14 – 14SU5 o aplique el archivo de parche: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
- Traducción 15 – 15SU4 (marzo de 2026) o aplique el archivo de parche: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
La empresa de equipos de redes todavía dijo que está “consciente de un intento de explotación de esta vulnerabilidad en la naturaleza”, e instó a los clientes a refrescar a una traducción de software fija para solucionar el problema. Actualmente no existen soluciones alternativas. A un investigador foráneo ignorado se le atribuye el mérito de descubrir e informar el error.
Este exposición ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a asociar CVE-2026-20045 a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que exige que las agencias del Poder Ejecutor Civil Federal (FCEB) apliquen las correcciones antiguamente del 11 de febrero de 2026.
El descubrimiento de CVE-2026-20045 se produce menos de una semana a posteriori de que Cisco publicara actualizaciones para otra vulnerabilidad de seguridad crítica explotada activamente que afecta al software AsyncOS para Cisco Secure Email Gateway y Cisco Secure Email and Web Manager (CVE-2025-20393, puntuación CVSS: 10.0) que podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root.
