BDU:2026-00706 | Уязвимость веб-интерфейса управления системы обраб

BDU:2026-00706

Уязвимость веб-интерфейса управления системы обработки вызовов Cisco Unified Communications Manager, систем управления IP-телефонией Cisco Unified Communications Manager Session Management Edition (SME), системы обработки вызовов Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P), интегрированной системы обмена сообщениями Cisco Unity Connection, облачной платформы для веб-конференцсвязи Cisco Webex Calling Dedicated Instance, позволяющая нарушителю выполнить произвольные команды и повысить свои привилегии до уровня root

📄 Описание

Уязвимость веб-интерфейса управления системы обработки вызовов Cisco Unified Communications Manager, систем управления IP-телефонией Cisco Unified Communications Manager Session Management Edition (SME), системы обработки вызовов Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P), интегрированной системы обмена сообщениями Cisco Unity Connection, облачной платформы для веб-конференцсвязи Cisco Webex Calling Dedicated Instance связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды и повысить свои привилегии до уровня root путем отправки специально сформированных HTTP-запросов

🖥️ Уязвимое ПО

Cisco Systems Inc.

Наименование ПО: Unity Connection, Cisco Unified Communications Manager, Cisco Unified Communications Manager SME, Unified Communications Manager IM and Presence Service, Webex Calling Dedicated Instance

Версия ПО: 12.5 (Unity Connection), 12.5 (Cisco Unified Communications Manager), до 14SU5 (Cisco Unified Communications Manager), до 14SU5 (Cisco Unified Communications Manager SME), до 14SU5 (Unified Communications Manager IM and Presence Service), 12.5 (Cisco Unified Communications Manager SME), до 14SU5 (Unity Connection), до 15SU4 (Unity Connection), до 15SU4 (Cisco Unified Communications Manager), до 15SU4 (Unified Communications Manager IM and Presence Service), до 12.5 (Unified Communications Manager IM and Presence Service), до 15SU4 (Cisco Unified Communications Manager SME), 12.5 (Webex Calling Dedicated Instance), до 14SU5 (Webex Calling Dedicated Instance), до 15SU4 (Webex Calling Dedicated Instance)

Тип ПО: Сетевое программное средство, ПО сетевого программно-аппаратного средства, Прикладное ПО информационных систем

ОС / платформа: —

⚙️ Технические сведения

Тип ошибки

Неверное управление генерацией кода (Внедрение кода) (CWE-94)

Класс уязвимости

Уязвимость кода

Дата выявления

21.01.2026

Способ эксплуатации

Инъекция

Способ устранения

Обновление программного обеспечения

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Устранение

Уязвимость устранена

📊 CVSS

CVSS 2.0

AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 3.0

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

⚠️ Уровень опасности

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

🔗 Источники и меры

🔗 https://sec.cloudapps.cisco.com/security/center/co...

🏷️ Идентификаторы

CVE-2026-20045

📅 Даты

Дата публикации

23.01.2026

Последнее обновление

23.01.2026

← Назад к списку

Детали уязвимости