Cisco ha publicado actualizaciones de seguridad críticas para abordar una vulnerabilidad de día cero, identificada como CVE-2026-20045 (puntuación CVSS: 8.2), que afecta a múltiples productos de su línea Unified Communications (CM) y Webex Calling. Esta brecha de seguridad está siendo explotada activamente por atacantes en entornos reales.

El problema técnico radica en una validación incorrecta de las solicitudes HTTP enviadas a la interfaz de gestión web de los dispositivos afectados. Un atacante remoto no autenticado podría aprovechar esta debilidad para ejecutar comandos arbitrarios en el sistema operativo subyacente. El riesgo es extremo, ya que el atacante podría obtener inicialmente acceso de nivel de usuario y posteriormente elevar sus privilegios a ‘root’, logrando el control total del equipo.

Los productos afectados incluyen Cisco Unified CM, Unified CM SME, Unity Connection y Webex Calling Dedicated Instance en sus versiones 12.5, 14 y 15. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ya ha añadido esta vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que subraya la gravedad de la situación. Actualmente no existen medidas de mitigación alternativas, por lo que la única solución efectiva es la aplicación de los parches oficiales de Cisco.

En INGENIERÍA TELEMÁTICA SAS, somos especialistas en la gestión de infraestructura crítica y soluciones de seguridad. Entendemos que la disponibilidad y la integridad de sus herramientas de colaboración son vitales para su operación. Si su organización utiliza soluciones de comunicaciones unificadas o colaboración en la nube y requiere asistencia para asegurar su infraestructura, le invitamos a contactarnos a través de nuestros canales habituales o nuestro formulario de contacto. Estamos aquí para proteger su entorno digital.

Fuente original: Ver aquí