Ciscoは、Unified CommunicationsおよびWebex Callingにおける重大なリモートコード実行(RCE)脆弱性(CVE-2026-20045)を修正しました。この脆弱性は、攻撃においてゼロデイとして積極的に悪用されていました。
CVE-2026-20045として追跡されているこの欠陥は、Cisco Unified Communications Manager(Unified CM)、Unified CM Session Management Edition(SME)、Unified CM IM & Presence、Cisco Unity Connection、Webex Calling Dedicated Instanceに影響します。
「この脆弱性は、HTTPリクエストにおけるユーザー提供入力の不適切な検証に起因します。攻撃者は、影響を受けるデバイスのWebベース管理インターフェースに対して、細工したHTTPリクエストのシーケンスを送信することでこの脆弱性を悪用できる可能性があります」と、Ciscoのアドバイザリは警告しています。
「悪用に成功すると、攻撃者は基盤となるオペレーティングシステムへのユーザーレベルのアクセスを取得し、その後、権限をrootに昇格できる可能性があります。」
この脆弱性のCVSSスコアは8.2ですが、悪用によりサーバー上でroot権限が得られるため、Ciscoは重大(Critical)の深刻度評価を付与しました。
Ciscoは、この脆弱性に対処するため、以下のソフトウェア更新およびパッチファイルを公開しました。
Cisco Unified CM、Unified CM IM&P、Unified CM SME、Webex Calling Dedicated Instance リリース:
| バージョン | 最初の修正済みリリース |
|---|---|
| 12.5 | 修正済みリリースへ移行してください。 |
| 14 | 14SU5、またはパッチファイルを適用: ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512 |
| 15 | 15SU4(2026年3月)、またはパッチファイルを適用: ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512 ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512 |
Cisco Unity Connection リリース:
| バージョン | 最初の修正済みリリース |
|---|---|
| 12.5 | 修正済みリリースへ移行してください。 |
| 14 | 14SU5、またはパッチファイルを適用: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512 |
| 15 | 15SU4(2026年3月)、またはパッチファイルを適用: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512 |
同社によると、パッチはバージョン固有のため、適用前にREADMEを確認する必要があります。
Ciscoの製品セキュリティ・インシデント対応チーム(PSIRT)は、この欠陥を悪用しようとする試みが実際に観測されていることを確認しており、顧客に対して可能な限り早急に最新ソフトウェアへアップグレードするよう促しています。
同社はまた、更新をインストールせずにこの欠陥を緩和できる回避策は存在しないと述べました。
米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、CVE-2026-20045を既知の悪用済み脆弱性(KEV)カタログに追加し、連邦機関に対して2026年2月11日までに更新を展開するよう期限を設定しました。
今月初めには、Ciscoが公開PoC(概念実証)エクスプロイトコードを伴うIdentity Services Engine(ISE)の脆弱性を修正し、さらに11月以降悪用されていたAsyncOSのゼロデイも修正しました。
