【安全资讯】思科紧急修复统一通信零日漏洞，攻击活动已现

概要：

在网络安全威胁日益严峻的背景下，关键基础设施的软件漏洞成为攻击者的首要目标。思科近日紧急修复了其统一通信产品中的一个高危零日漏洞，该漏洞已被发现在野利用，可能允许攻击者完全控制系统，对依赖这些通信平台的全球企业和政府机构构成严重威胁。

主要内容：

该漏洞编号为CVE-2026-20045，存在于思科统一通信管理器、会话管理版、IM & Presence服务、Unity Connection及Webex Calling专用实例平台的Web管理界面中。其核心成因是HTTP请求处理过程中对用户输入验证不当，使得未经身份验证的远程攻击者能够发送特制HTTP请求，从而在底层操作系统上执行任意代码，并可能提升至root权限。

尽管其CVSS基础评分属于“高危”范围，但思科产品安全事件响应团队因其可导致系统完全沦陷而将其评定为“严重”级别。思科已确认该漏洞在野利用尝试，并敦促客户立即应用修复补丁。美国网络安全和基础设施安全局也已将其列入已知被利用漏洞目录。

此次漏洞修复凸显了将语音等通信基础设施视为“无聊管道”的观念已过时，攻击者正积极寻找此类关键系统的弱点。对于运行受影响软件的用户而言，目前没有可行的临时解决方案，及时打补丁是唯一的防护手段。