漏洞概述
Cisco 多款统一通信产品中存在一个高危远程命令执行漏洞(CVE-2026-20045)。未经身份验证的远程攻击者可通过向受影响设备的 Web 管理界面发送特制 HTTP 请求,利用该漏洞在底层操作系统上执行任意命令,并可能进一步提升权限至 root。尽管 CVSS 评分为 High(8.2),Cisco 官方将其安全影响等级(SIR)定为 Critical,因其可导致完全系统控制。
漏洞详情
- CVE 编号:CVE-2026-20045
- 漏洞类型:远程命令执行(CWE-94:代码生成控制不当)
- CVSS 评分:8.2(HIGH),向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
- 影响版本:Cisco Unified Communications Manager (Unified CM)、Cisco Unified CM Session Management Edition (SME)、Cisco Unified CM IM & Presence Service (IM&P)、Cisco Unity Connection、Cisco Webex Calling Dedicated Instance
影响范围
该漏洞影响 Cisco 多款企业通信与协作平台,包括 Unified Communications Manager 及其会话管理版、IM 与在线状态服务、Unity Connection 语音邮件系统,以及 Webex Calling 专用实例。所有未打补丁的受影响设备均暴露于风险之中。
风险分析
攻击者无需身份认证即可通过网络发起攻击,利用难度低且无需用户交互。成功利用后,攻击者可获得操作系统用户级访问权限,并进一步提权至 root,从而完全控制系统、窃取敏感通信数据、植入持久化后门或横向移动至内部网络,造成严重安全后果。
修复建议
- 立即参考 Cisco 官方安全公告,升级至已修复该漏洞的软件版本。
- 在无法立即升级的情况下,建议限制对 Web 管理接口的网络访问(如通过防火墙策略仅允许可信 IP 访问),并监控异常 HTTP 请求行为。
