思科统一通信平台紧急修补零日漏洞

思科公司近日发布了针对其统一通信设备中一个关键级别零日漏洞的修复补丁。该漏洞已在野外被恶意利用，此前美国网络安全和基础设施安全局已将其列为紧急优先处理事项。

这个漏洞编号为CVE-2026-20045，存在于多个思科产品的Web管理界面中，包括思科统一通信管理器、会话管理版本、即时消息和状态服务、思科Unity Connection以及Webex Calling专用实例平台。该漏洞允许未经身份验证的远程攻击者在底层操作系统上执行任意代码，并可能提升至root权限。

尽管该漏洞的CVSS基础评分处于"高"级别范围，但思科产品安全事件响应团队仍将其定为"关键"严重级别，因为成功的漏洞利用可能导致系统完全沦陷。

这家网络设备巨头表示，公司"已知悉该漏洞在野外遭到利用尝试"，并敦促客户立即应用修复程序。

思科尚未透露受影响的客户数量、是否有数据从受影响环境中被窃取，或者这些利用尝试的幕后黑手身份。

该问题存在于管理界面的HTTP处理中，无需登录即可触发。思科在其公告中解释说："此漏洞是由于对HTTP请求中用户提供输入的验证不当造成的。攻击者可以通过向受影响设备的基于Web的管理界面发送一系列精心构造的HTTP请求来利用此漏洞。"

考虑到这些界面通常可以通过内部网络或VPN访问，攻击者注意到这个漏洞并不令人意外。

就在几天前，思科刚刚被迫为其安全电子邮件网关和安全电子邮件及Web管理器产品中的另一个关键远程代码执行漏洞CVE-2025-20393推出了另一套补丁，这突显了思科在新年伊始遭遇的代码安全问题。

美国网络安全和基础设施安全局已将该漏洞添加到其已知被利用漏洞列表中，这意味着联邦机构有修补期限，其他组织也没有理由等待。

思科没有提供解决方案，这意味着如果您正在运行受影响的软件，主要就是打补丁并希望能在其他人之前完成修复。

对于那些仍将语音基础设施视为无聊管道的人来说，这再次提醒我们，攻击者绝对不这么认为。

Q&A

Q1：CVE-2026-20045漏洞影响哪些思科产品？

A：该漏洞影响思科统一通信管理器、会话管理版本、即时消息和状态服务、思科Unity Connection以及Webex Calling专用实例平台的Web管理界面。

Q2：CVE-2026-20045漏洞的危害程度如何？

A：该漏洞被评为关键级别，允许未经身份验证的远程攻击者在底层操作系统上执行任意代码，并可能提升至root权限，成功利用可导致系统完全沦陷。

Q3：思科是否提供了CVE-2026-20045漏洞的临时解决方案？

A：思科没有提供解决方案，如果您正在运行受影响的软件，主要解决办法就是立即应用官方发布的安全补丁进行修复。