Cisco, birden fazla Birleşik İletişim (CM) ürününü ve vahşi ortamda sıfır gün olarak aktif olarak istismar edilen Webex Çağrıya Özel Örneği etkileyen “kritik” bir güvenlik açığı olarak tanımladığı durumu ele almak için yeni yamalar yayınladı.
CVE-2026-20045 (CVSS puanı: 8,2) güvenlik açığı, kimliği doğrulanmamış uzaktaki bir saldırganın, duyarlı bir cihazın temel işletim sistemi üzerinde rastgele komutlar yürütmesine izin verebilir.
Cisco, bir danışma belgesinde “Bu güvenlik açığı, HTTP isteklerinde kullanıcı tarafından sağlanan girişin hatalı şekilde doğrulanmasından kaynaklanmaktadır” dedi. “Bir saldırgan, etkilenen cihazın web tabanlı yönetim arayüzüne bir dizi hazırlanmış HTTP isteği göndererek bu güvenlik açığından yararlanabilir. Başarılı bir yararlanma, saldırganın temel işletim sistemine kullanıcı düzeyinde erişim elde etmesine ve ardından root yetkisini yükseltmesine olanak tanıyabilir.”
Kusurun kritik derecesinin, istismarının ayrıcalık artışının kök salmasına izin verebileceği gerçeğinden kaynaklandığını da ekledi. Güvenlik açığı aşağıdaki ürünleri etkiliyor:
- Birleşik CM
- Birleşik CM Oturum Yönetimi Sürümü (SME)
- Birleşik CM IM ve Durum Hizmeti (IM&P)
- Birlik Bağlantısı
- Webex Çağrısı Özel Örneği
Aşağıdaki sürümlerde ele alınmıştır –
Cisco Unified CM, CM SME, CM IM&P ve Webex Çağrıya Özel Örneği –
- Sürüm 12.5 – Sabit bir sürüme geçiş yapın
- 14 – 14SU5 sürümünü yayınlayın veya yama dosyasını uygulayın: ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512
- Sürüm 15 – 15SU4 (Mart 2026) veya yama dosyasını uygulayın: ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512 veya ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512
Cisco Birlik Bağlantısı
- Sürüm 12.5 – Sabit bir sürüme geçiş yapın
- 14 – 14SU5 sürümünü yayınlayın veya yama dosyasını uygulayın: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
- Sürüm 15 – 15SU4 (Mart 2026) veya yama dosyasını uygulayın: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
Ağ ekipmanı uzmanı aynı zamanda “bu güvenlik açığının vahşi ortamda istismar edilmeye çalışıldığının farkında olduğunu” belirterek, müşterileri sorunu çözmek için sabit bir yazılım sürümüne yükseltmeye çağırdı. Şu anda herhangi bir geçici çözüm bulunmamaktadır. Anonim bir harici araştırmacının hatayı keşfetmesi ve bildirmesi ile itibar kazandı.
Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA), CVE-2026-20045’i Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna eklemesine yol açtı ve Federal Sivil Yürütme Şubesi (FCEB) kurumlarının düzeltmeleri 11 Şubat 2026’ya kadar uygulamasını gerektirdi.
CVE-2026-20045’in keşfi, Cisco’nun, bir saldırganın kök ayrıcalıklarıyla rastgele komutlar yürütmesine izin verebilecek, Cisco Güvenli E-posta Ağ Geçidi ve Cisco Güvenli E-posta ve Web Yöneticisi için AsyncOS Yazılımını (CVE-2025-20393, CVSS puanı: 10.0) etkileyen, aktif olarak yararlanılan başka bir kritik güvenlik açığına yönelik güncellemeleri yayınlamasından bir haftadan kısa bir süre sonra gerçekleşti.