Cisco đã phát hành các bản vá mới để xử lý một lỗ hổng bảo mật mà hãng mô tả là "nghiêm trọng", ảnh hưởng đến nhiều sản phẩm Unified Communications (CM) và Webex Calling Dedicated Instance, vốn đang bị khai thác tích cực như một lỗ hổng zero-day trong thực tế.
Lỗ hổng, được định danh là CVE-2026-20045 (điểm CVSS: 8.2), có thể cho phép kẻ tấn công từ xa không được xác thực thực thi các lệnh tùy ý trên hệ điều hành cơ bản của một thiết bị dễ bị tổn thương.
"Lỗ hổng này là do việc xác thực đầu vào do người dùng cung cấp trong các yêu cầu HTTP không đúng cách," Cisco cho biết trong một thông báo. "Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một chuỗi các yêu cầu HTTP được tạo sẵn đến giao diện quản lý dựa trên web của một thiết bị bị ảnh hưởng. Một cuộc khai thác thành công có thể cho phép kẻ tấn công có được quyền truy cập cấp người dùng vào hệ điều hành cơ bản và sau đó nâng cao đặc quyền lên quyền root."
Cisco nói thêm rằng xếp hạng nghiêm trọng cho lỗ hổng này là do việc khai thác nó có thể cho phép nâng cao đặc quyền lên quyền root. Lỗ hổng ảnh hưởng đến các sản phẩm sau:
Các sản phẩm bị ảnh hưởng
- Unified CM
- Unified CM Session Management Edition (SME)
- Unified CM IM & Presence Service (IM&P)
- Unity Connection
- Webex Calling Dedicated Instance
Các phiên bản đã được khắc phục
Lỗ hổng đã được khắc phục trong các phiên bản sau:
Cisco Unified CM, CM SME, CM IM&P, và Webex Calling Dedicated Instance
- Release 12.5 - Di chuyển sang bản phát hành đã được sửa lỗi
- Release 14 - 14SU5 hoặc áp dụng tệp vá lỗi: ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512
- Release 15 - 15SU4 (Tháng 3 năm 2026) hoặc áp dụng tệp vá lỗi: ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512 hoặc ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512
Cisco Unity Connection
- Release 12.5 - Di chuyển sang bản phát hành đã được sửa lỗi
- Release 14 - 14SU5 hoặc áp dụng tệp vá lỗi: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
- Release 15 - 15SU4 (Tháng 3 năm 2026) hoặc áp dụng tệp vá lỗi: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
Nhà sản xuất thiết bị mạng cũng cho biết họ "nhận thức được các nỗ lực khai thác lỗ hổng này trong thực tế", thúc giục khách hàng nâng cấp lên phiên bản phần mềm đã được sửa lỗi để giải quyết vấn đề. Hiện tại không có giải pháp khắc phục tạm thời nào. Một nhà nghiên cứu bên ngoài ẩn danh đã được ghi nhận công lao trong việc phát hiện và báo cáo lỗi này.
Sự phát triển này đã thúc đẩy Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) thêm CVE-2026-20045 vào danh mục Known Exploited Vulnerabilities (KEV) của mình, yêu cầu các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) phải áp dụng các bản sửa lỗi trước ngày 11 tháng 2 năm 2026.
Việc phát hiện ra CVE-2026-20045 diễn ra chưa đầy một tuần sau khi Cisco phát hành các bản cập nhật cho một lỗ hổng bảo mật nghiêm trọng khác đang bị khai thác tích cực, ảnh hưởng đến AsyncOS Software cho Cisco Secure Email Gateway và Cisco Secure Email and Web Manager (CVE-2025-20393, điểm CVSS: 10.0), có thể cho phép kẻ tấn công thực thi các lệnh tùy ý với đặc quyền root.
