ГлавнаяБаза уязвимостей БДУ → BDU:2026-00706
10критическая

BDU:2026-00706

Уязвимость веб-интерфейса управления системы обработки вызовов Cisco Unified Communications Manager, систем управления IP-телефонией Cisco Unified Communications Manager Session Management Edition (SME), системы обработки вызовов Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P), интегрированной системы обмена сообщениями Cisco Unity Connection, облачной платформы для веб-конференцсвязи Cisco Webex Calling Dedicated Instance, позволяющая нарушителю выполнить произвольные команды и повысить свои привилегии до уровня root
Опубликовано: 2026-01-23
Описание

Уязвимость веб-интерфейса управления системы обработки вызовов Cisco Unified Communications Manager, систем управления IP-телефонией Cisco Unified Communications Manager Session Management Edition (SME), системы обработки вызовов Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P), интегрированной системы обмена сообщениями Cisco Unity Connection, облачной платформы для веб-конференцсвязи Cisco Webex Calling Dedicated Instance связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды и повысить свои привилегии до уровня root путем отправки специально сформированных HTTP-запросов

Затрагиваемое ПО и версии
Unity Connection (12.5)Cisco Unified Communications Manager (12.5)Cisco Unified Communications Manager (до 14SU5)Cisco Unified Communications Manager SME (до 14SU5)Unified Communications Manager IM and Presence Service (до 14SU5)Cisco Unified Communications Manager SME (12.5)Unity Connection (до 14SU5)Unity Connection (до 15SU4)Cisco Unified Communications Manager (до 15SU4)Unified Communications Manager IM and Presence Service (до 15SU4)Unified Communications Manager IM and Presence Service (до 12.5)Cisco Unified Communications Manager SME (до 15SU4)Webex Calling Dedicated Instance (12.5)Webex Calling Dedicated Instance (до 14SU5)Webex Calling Dedicated Instance (до 15SU4)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации HTTP-запросов;
- сегментирование сети с целью ограничения доступа к системам из других подсетей;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа к уязвимым системам из внешних сетей (Интернет).

Использование рекомендаций:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voice-rce-mORhqY4b

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voice-rce-mORhqY4b
Проверьте безопасность своего сайта и почты → Полная проверка домена