Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00706

Опубликовано: 21 янв. 2026
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость веб-интерфейса управления системы обработки вызовов Cisco Unified Communications Manager, систем управления IP-телефонией Cisco Unified Communications Manager Session Management Edition (SME), системы обработки вызовов Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P), интегрированной системы обмена сообщениями Cisco Unity Connection, облачной платформы для веб-конференцсвязи Cisco Webex Calling Dedicated Instance связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды и повысить свои привилегии до уровня root путем отправки специально сформированных HTTP-запросов

Вендор

Cisco Systems Inc.

Наименование ПО

Unity Connection
Cisco Unified Communications Manager
Cisco Unified Communications Manager SME
Unified Communications Manager IM and Presence Service
Webex Calling Dedicated Instance

Версия ПО

12.5 (Unity Connection)
12.5 (Cisco Unified Communications Manager)
до 14SU5 (Cisco Unified Communications Manager)
до 14SU5 (Cisco Unified Communications Manager SME)
до 14SU5 (Unified Communications Manager IM and Presence Service)
12.5 (Cisco Unified Communications Manager SME)
до 14SU5 (Unity Connection)
до 15SU4 (Unity Connection)
до 15SU4 (Cisco Unified Communications Manager)
до 15SU4 (Unified Communications Manager IM and Presence Service)
до 12.5 (Unified Communications Manager IM and Presence Service)
до 15SU4 (Cisco Unified Communications Manager SME)
12.5 (Webex Calling Dedicated Instance)
до 14SU5 (Webex Calling Dedicated Instance)
до 15SU4 (Webex Calling Dedicated Instance)

Тип ПО

Сетевое программное средство
ПО сетевого программно-аппаратного средства
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации HTTP-запросов;
- сегментирование сети с целью ограничения доступа к системам из других подсетей;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа к уязвимым системам из внешних сетей (Интернет).
Использование рекомендаций:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voice-rce-mORhqY4b

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 82%
0.01761
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2026-20045

CVSS3: 8.2
nvd
13 дней назад

A vulnerability in Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM SME), Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P), Cisco Unity Connection, and Cisco Webex Calling Dedicated Instance could allow an unauthenticated, remote attacker to execute arbitrary commands on the underlying operating system of an affected device.  This vulnerability is due to improper validation of user-supplied input in HTTP requests. An attacker could exploit this vulnerability by sending a sequence of crafted HTTP requests to the web-based management interface of an affected device. A successful exploit could allow the attacker to obtain user-level access to the underlying operating system and then elevate privileges to root. Note: Cisco has assigned this security advisory a Security Impact Rating (SIR) of Critical rather than High as the score indicates. The reason is that expl

github логотип

GHSA-h4w3-hxw6-99q7

CVSS3: 8.2
github
13 дней назад

A vulnerability in Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM SME), Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P), Cisco Unity Connection, and Cisco Webex Calling Dedicated Instance could allow an unauthenticated, remote attacker to execute arbitrary commands on the underlying operating system of an affected device.  This vulnerability is due to improper validation of user-supplied input in HTTP requests. An attacker could exploit this vulnerability by sending a sequence of crafted HTTP requests to the web-based management interface of an affected device. A successful exploit could allow the attacker to obtain user-level access to the underlying operating system and then elevate privileges to root. Note: Cisco has assigned this security advisory a Security Impact Rating (SIR) of Critical rather than High as the score indicates. The reason is that expl...

EPSS

Процентиль: 82%
0.01761
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2