A Cisco corrigiu uma vulnerabilidade crítica de execução remota de código (RCE) no Unified Communications e no Webex Calling, identificada como
CVE-2026-20045
, que vem sendo explorada ativamente como zero-day em ataques reais.
A falha afeta diversas soluções da Cisco, incluindo o Unified Communications Manager (Unified CM), Unified CM Session Management Edition (SME), Unified CM IM & Presence, Cisco Unity Connection e o Webex Calling Dedicated Instance.
Segundo o aviso oficial da Cisco, a vulnerabilidade ocorre devido à validação inadequada das entradas fornecidas pelo usuário em requisições HTTP.
Um atacantes pode explorá-la enviando uma sequência de requisições HTTP especialmente construídas à interface de gerenciamento web do dispositivo afetado.
Se a exploração for bem-sucedida, o invasor pode obter acesso em nível de usuário ao sistema operacional subjacente e, em seguida, escalar privilégios até root, alcançando controle total sobre o servidor.
Apesar da pontuação CVSS de 8,2, a Cisco classificou essa falha como crítica pelo potencial de acesso root.
Para mitigá-la, a Cisco liberou atualizações específicas para versões dos seguintes produtos:
- Cisco Unified CM, Unified CM IM & Presence, Unified CM SME e Webex Calling Dedicated Instance
- Cisco Unity Connection
A empresa recomenda que os usuários consultem o arquivo README antes de aplicar os patches, pois cada atualização é destinada a versões específicas.
O Product Security Incident Response Team (PSIRT) da Cisco confirmou tentativas de exploração dessa vulnerabilidade em ambientes reais, reforçando a urgência em atualizar os sistemas o quanto antes.
Além disso, não há soluções alternativas (workarounds) disponíveis que protejam contra essa falha sem a instalação dos patches.
A agência americana US Cybersecurity and Infrastructure Security Agency (CISA) incluiu a
CVE-2026-20045
em seu catálogo de vulnerabilidades conhecidas por serem exploradas (KEV) e determinou que órgãos federais dos EUA devem aplicar as atualizações até 11 de fevereiro de 2026.
Recentemente, a Cisco também corrigiu vulnerabilidades no Identity Services Engine (ISE), com provas de conceito já publicadas, além de uma zero-day no AsyncOS explorada desde novembro.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...