Kritische Sicherheitslücke in Cisco-Unified-Communications-Produkten

Das Unternehmen Cisco veröffentlichte am 21. Januar 2026 eine Warnmeldung zur kritischen Schwachstelle CVE-2026-20045 (EUVD-2026-3600) in den folgenden Produkten:

• Unified Communications Manager (Unified CM)
• Unified CM Session Management Edition (SME)
• Unified CM IM & Presence Service (Unified CM IM&P)
• Unity Connection
• Webex Calling Dedicated Instance

CVE-2026-20045 wurde von Cisco mit einem CVSS-Score von 8.2/10 bewertet, das Bundesamt für Sicherheit in der Informationstechnik (BSI) vergibt aufgrund bereits bekannter Ausnutzungen der Lücke einen kritischen Wert von 9.8/10. Die Sicherheitslücke ermöglicht Angreifenden Remote Code Execution und das Erlangen von Root-Rechten. Eine aktive und erfolgreiche Ausnutzung durch Unbefugte wurde bereits festgestellt.

Laut Cisco betrifft die Schwachstelle die Versionen 12.5, 14 und 15 der genannten Produkte. Nutzende der Version 12.5 müssen auf eine höhere Version updaten. Bei den Versionen 14 und 15 schließen die Updates 14SU5 und 15SU4 die Lücke.

• Wenn Sie den Versionsstand 12.5 der oben genannten Cisco-Produkte einsetzen, wechseln Sie auf eine höhere Version 14 oder 15.
• Aktualisieren Sie die oben genannten Cisco-Produkte je nach Konfiguration umgehend auf die Versionsstände 14SU5 oder 15SU4.