Cisco retter aktivt udnyttet RCE 0-dag i Unified Communications

Cisco har udsendt opdateringer til en kritisk sårbarhed i sine Unified Communications‑produkter, efter at fejlen blev aktivt udnyttet som en 0-dagssårbarhed. 

Det skriver Bleeping Computer og en række andre medier. Den pågældende sårbarhed, der har det amerikanske id-nummer CVE‑2026‑20045, men endnu ikke et EUVD-nummer, rammer en række af virksomhedens centrale kommunikationsplatforme, herunder Unified CM, IM & Presence, Unity Connection og Webex Calling Dedicated Instance. 

CVSS-scoren er 8,2, og da sårbarheden er under udnyttelse har CISA givet amerikanske føderale myndigheder frem til 11. februar til at fixe den. 

Ifølge Ciscos sikkerhedsmeddelelse skyldes fejlen utilstrækkelig validering af brugerinput i HTTP‑forespørgsler. Ved at sende en sekvens af manipulerede requests til den webbaserede administrationsgrænseflade kan en angriber først opnå brugerniveau‑adgang og derfra eskalere til root‑rettigheder.

Patches klar - ingen alternative workarounds

Cisco har frigivet patchfiler og opdaterede versioner til samtlige berørte platforme, og virksomheden understreger, at der ikke findes nogen midlertidige afværgetiltag. Administratorer skal derfor opdatere systemerne, og Cisco opfordrer til at læse README‑filerne omhyggeligt, da patchfilerne er versionsspecifikke.

Unified CM / IM&P / SME / Webex Calling Dedicated Instance

• v12.5: Kræver migration til en rettet version
• v14: Rettet i 14SU5 eller via patchfil
• v15: Rettet i 15SU4 (forventet marts 2026) eller via patchfil

Unity Connection

• v12.5: Kræver migration
• v14 & v15: Rettet i SU5/SU4 eller via tilsvarende patchfil

Angreb bekræftet - CISA reagerer

Ciscos PSIRT‑team har bekræftet konkrete angrebsforsøg, hvilket sandsynligvis har fremskyndet udgivelsen af opdateringerne.