思科公司近日發(fā)布了針對其統(tǒng)一通信設(shè)備中一個關(guān)鍵級別零日漏洞的修復(fù)補丁。該漏洞已在野外被惡意利用，此前美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局已將其列為緊急優(yōu)先處理事項。

這個漏洞編號為CVE-2026-20045，存在于多個思科產(chǎn)品的Web管理界面中，包括思科統(tǒng)一通信管理器、會話管理版本、即時消息和狀態(tài)服務(wù)、思科Unity Connection以及Webex Calling專用實例平臺。該漏洞允許未經(jīng)身份驗證的遠程攻擊者在底層操作系統(tǒng)上執(zhí)行任意代碼，并可能提升至root權(quán)限。

盡管該漏洞的CVSS基礎(chǔ)評分處于"高"級別范圍，但思科產(chǎn)品安全事件響應(yīng)團隊仍將其定為"關(guān)鍵"嚴重級別，因為成功的漏洞利用可能導(dǎo)致系統(tǒng)完全淪陷。

這家網(wǎng)絡(luò)設(shè)備巨頭表示，公司"已知悉該漏洞在野外遭到利用嘗試"，并敦促客戶立即應(yīng)用修復(fù)程序。

思科尚未透露受影響的客戶數(shù)量、是否有數(shù)據(jù)從受影響環(huán)境中被竊取，或者這些利用嘗試的幕后黑手身份。

該問題存在于管理界面的HTTP處理中，無需登錄即可觸發(fā)。思科在其公告中解釋說："此漏洞是由于對HTTP請求中用戶提供輸入的驗證不當(dāng)造成的。攻擊者可以通過向受影響設(shè)備的基于Web的管理界面發(fā)送一系列精心構(gòu)造的HTTP請求來利用此漏洞。"

考慮到這些界面通常可以通過內(nèi)部網(wǎng)絡(luò)或VPN訪問，攻擊者注意到這個漏洞并不令人意外。

就在幾天前，思科剛剛被迫為其安全電子郵件網(wǎng)關(guān)和安全電子郵件及Web管理器產(chǎn)品中的另一個關(guān)鍵遠程代碼執(zhí)行漏洞CVE-2025-20393推出了另一套補丁，這突顯了思科在新年伊始遭遇的代碼安全問題。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局已將該漏洞添加到其已知被利用漏洞列表中，這意味著聯(lián)邦機構(gòu)有修補期限，其他組織也沒有理由等待。

思科沒有提供解決方案，這意味著如果您正在運行受影響的軟件，主要就是打補丁并希望能在其他人之前完成修復(fù)。

對于那些仍將語音基礎(chǔ)設(shè)施視為無聊管道的人來說，這再次提醒我們，攻擊者絕對不這么認為。

Q&A

Q1：CVE-2026-20045漏洞影響哪些思科產(chǎn)品？

A：該漏洞影響思科統(tǒng)一通信管理器、會話管理版本、即時消息和狀態(tài)服務(wù)、思科Unity Connection以及Webex Calling專用實例平臺的Web管理界面。

Q2：CVE-2026-20045漏洞的危害程度如何？

A：該漏洞被評為關(guān)鍵級別，允許未經(jīng)身份驗證的遠程攻擊者在底層操作系統(tǒng)上執(zhí)行任意代碼，并可能提升至root權(quán)限，成功利用可導(dǎo)致系統(tǒng)完全淪陷。

Q3：思科是否提供了CVE-2026-20045漏洞的臨時解決方案？

A：思科沒有提供解決方案，如果您正在運行受影響的軟件，主要解決辦法就是立即應(yīng)用官方發(fā)布的安全補丁進行修復(fù)。