思科统一通信产品现严重漏洞 已被黑客利用

思科公司发布补丁修复其统一通信产品中的严重远程代码执行漏洞，该漏洞正被攻击者积极利用。美国网络安全和基础设施安全局已将该漏洞添加到其已知被利用漏洞目录中，确认了漏洞的利用情况。

漏洞详情与影响

思科披露了CVE-2026-20045漏洞，并为统一通信管理器、Unity Connection和Webex Calling专用实例发布了补丁。尽管该漏洞的CVSS评分为8.2，但公司将其评级为"严重"级别。

思科在公告中表示："我们将此安全公告的安全影响等级评定为严重而非高级，原因是该漏洞的利用可能导致攻击者将权限提升至root级别。"

CISA将该漏洞添加到KEV目录确认了攻击者正在野外利用它。CISA在警报中指出："此类漏洞是恶意网络行为者的常见攻击载体，对联邦企业构成重大风险。"

这是近几周内CISA添加到KEV目录的第二个被积极利用的思科漏洞。上周，该机构添加了影响思科AsyncOS软件的CVE-2025-20393。

公告补充道："其他协作产品，包括Contact Center Enterprise、Emergency Responder、Finesse、统一智能中心和统一联系中心快捷版，不受CVE-2026-20045影响。"

漏洞技术原理

该漏洞源于对HTTP请求中用户提供输入的验证不当。思科在公告中解释："攻击者可以通过向受影响设备的基于Web的管理界面发送一系列精心制作的HTTP请求来利用此漏洞。成功的利用可能允许攻击者获得对底层操作系统的用户级访问权限，然后将权限提升至root级别。"

公告补充说，该攻击不需要用户交互，可由未经身份验证的远程攻击者执行，这使其对面向互联网的统一通信部署特别危险。

思科产品安全事件响应团队补充说，该团队"知悉该漏洞在野外被尝试利用"，强调了修补的紧迫性。

修补建议与解决方案

思科在公告中确认，CVE-2026-20045没有可用的变通方法或缓解措施。公司已发布针对每个产品版本的特定修复程序。

对于运行版本14的统一通信管理器、IM&P、SME和Webex Calling专用实例，公司建议管理员可以升级到版本14SU5或应用版本特定的补丁文件。运行版本15的组织可以应用15SU2和15SU3a的版本特定补丁，公司补充说，版本15SU4的完整发布预计在2026年3月。

Unity Connection管理员有类似选项，针对14SU4和15SU3版本提供版本特定的补丁文件。

仍在运行版本12.5的组织面临更艰难的选择：思科不会为此版本发布补丁，建议迁移到受支持的版本。

思科在公告中表示："建议客户迁移到包含此漏洞修复的受支持版本。"公告补充说，补丁是版本特定的，管理员应查阅每个补丁附带的README文件了解部署详情。

监管要求与建议

CISA将CVE-2026-20045纳入KEV目录，根据约束性操作指令22-01，触发了联邦民用执行部门机构的强制修复时间线。联邦机构必须在1月21日添加到目录后的两周内修补该漏洞。

虽然BOD 22-01专门适用于联邦机构，但CISA"强烈建议"所有组织将KEV列出的漏洞视为高优先级修补目标。该目录跟踪已确认被积极利用的漏洞，使它们更有可能被武器化以攻击更广泛的目标。

后续安全措施

思科表示，组织在应用缓解措施后应检查所有可通过互联网访问的实例是否存在潜在入侵迹象。公司建议管理员审查系统日志和配置，查找可能表明先前被利用的任何未授权更改或可疑活动。

对于无法立即升级到修复版本的组织，公司表示版本特定的补丁文件提供了临时修复选项。但是，思科指出补丁必须与设备上运行的确切软件版本匹配，管理员应在部署前验证兼容性。

Q&A

Q1：CVE-2026-20045漏洞影响哪些思科产品？

A：该漏洞主要影响思科统一通信管理器、Unity Connection和Webex Calling专用实例。不过，其他协作产品如Contact Center Enterprise、Emergency Responder、Finesse、统一智能中心和统一联系中心快捷版不受此漏洞影响。

Q2：这个漏洞为什么被评为严重级别？

A：尽管该漏洞的CVSS评分为8.2，但思科将其评级为"严重"级别，因为该漏洞的利用可能导致攻击者将权限提升至root级别。攻击者无需用户交互就能远程利用，对面向互联网的统一通信部署特别危险。

Q3：如何修复CVE-2026-20045漏洞？

A：思科确认没有变通方法，只能通过补丁修复。版本14用户可升级到14SU5或应用特定补丁，版本15用户可应用15SU2和15SU3a补丁。仍使用版本12.5的组织需要迁移到受支持版本，因为思科不会为旧版本提供补丁。