更新時間:2026/01/22 17:05:42
發佈時間:2026/01/22 17:05:42
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Cisco發布安全公告,指出其Unified Communications系列產品存在程式碼注入漏洞(CVE-2026-20045,CWE-94)。該漏洞發生於Web管理介面的HTTP請求處理流程中,因系統未對使用者輸入進行適當驗證,導致攻擊者可透過特製HTTP請求觸發程式碼注入,進而於受影響裝置上以root權限執行任意系統命令。
二、已揭露攻擊活動說明
1. Cisco PSIRT表示已觀察此漏洞被利用於攻擊行為。
2. CISA已加入漏洞利用清單[2]。
▶ 漏洞資訊
⌵
名稱:
CVE-2026-20045
描述:
使用版本:CVSS 3.1
分析分數:8.2
參考來源: Cisco
▶ 影響平台
⌵
影響平台-系統:
1. 影響Cisco Unified Communications Manager(Unified CM)、Unified CM Session Management Edition(Unified CM SME)、Unified CM IM & Presence Service(Unified CM IM&P)、Cisco Webex Calling Dedicated Instance及Cisco Unity Connection系列產品。
2. Unified CM、Unified CM SME、Unified CM IM&P、Cisco Webex Calling Dedicated Instance:12.5版本受影響,所屬版本線已停止維護,不再提供安全更新。
3. Unified CM、Unified CM SME、Unified CM IM&P、Cisco Webex Calling Dedicated Instance:14.x版本受影響,建議升級至14SU5,或套用ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512官方修補檔。
4. Unified CM、Unified CM SME、Unified CM IM&P、Cisco Webex Calling Dedicated Instance:15.x版本受影響,建議升級至15SU4,或套用ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512、 ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512官方修補檔。
5. Cisco Unity Connection:12.5版本受影響,所屬版本線已停止維護,不再提供安全更新。
6. Cisco Unity Connection:14.x版本受影響,建議升級至14SU5,或套用ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512官方修補檔。
7. Cisco Unity Connection:15.x版本受影響,建議升級至15SU4,或套用ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512官方修補檔。
▶ 建議措施
⌵
1. 官方說明現無緩解措施,並已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voice-rce-mORhqY4b | Cisco |
| 2 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
情資編號:
FISAC-200-202601-0006
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞