V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-20045
CVE
Критический KEVПодтвержденаЭксплойт есть

Уязвимость в Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM…

CVSS
9.8
Критический
EPSS
0.04
p89
Опубликовано
2026-01-01
Обновлено
2026-01-21
Описание

Уязвимость в Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM SME), Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P), Cisco Unity Connection и Cisco Webex Calling Dedicated Instance могут позволить неаутентифицированному удаленному злоумышленнику выполнять произвольные команды в базовой операционной системе затронутого устройства. Эта уязвимость обусловлена ненадлежащей валидацией пользовательского ввода в HTTP-запросах. Агитатор может использовать эту уязвимость, отправив последовательность созданных HTTP-запросов в веб-интерфейс управления пострадавшего устройства. Успешный эксплойт может позволить злоумышленнику получить доступ на уровне пользователя к базовой операционной системе, а затем повысить привилегии до root.  Примечание: Cisco назначила этому совету по безопасности рейтингу воздействия на безопасность (SIR) критическому, а не высокому, как показывает оценка. Причина в том, что использование этой уязвимости может привести к тому, что злоумышленник возвысит привилегии до корня.

Теги · CWE
KEVБез аутентификации
CWE-94
CAPEC-35
CAPEC-77
CAPEC-242
Затронутые продукты
Unified_communications_manager 12.5–14su5Unified_communications_manager 15.0–15su3aUnified_communications_manager_im_and_presence_service 12.5–14su5Unified_communications_manager_im_and_presence_service 15.0–15su3aUnity_connection 12.5–14su5Unity_connection 15.0–15su3
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2026-01-01
Опубликована
2026-01-21
Добавлена в KEV
2026-01-21
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.043 · p89
Известна эксплуатация (KEV)
Да
MITRE ATT&CK
Выводимые через CAPEC
└ через CAPEC-35 · CWE-94
└ через CAPEC-35 · CWE-94
Проверки Сканер-ВС
CVE-2026-20045
cisa · https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Enterprise
Затронутые продукты
ПродуктВендорСтатус
unified_communications_manager*Эксплуатируется
unified_communications_manager_im_and_presence_service*Эксплуатируется
unity_connection*Эксплуатируется