Kritische Sicherheitslücke in Cisco Unified Communications Manager

Das Unternehmen Cisco veröffentlichte am 2. Juli 2025 eine Sicherheitsmeldung zur kritischen Sicherheitslücke CVE-2025-20309 in seiner Software Cisco Unified Communications Manager (CUCM). CVE-2025-20309 hat den höchsten CVSS-Base-Score von 10/10 und ermöglicht Angreifenden, Administratorrechte zu erlangen und im Anschluss Remote Code Execution (RCE).

Betroffen sind die CUCM-Versionen 15.0.1.13010-1 bis einschließlich 15.0.1.13017-1 in allen Konfigurationen. Mit der Version 15SU3 stellt Cisco eine abgesicherte Version bereit, die die Lücke schließt. Um zu prüfen, ob die Schwachstelle in der eigenen CUCM-Instanz bereits ausgenutzt wurde, veröffentlichte Cisco zudem IoCs. Mit diesen können Nutzende Ihre Systeme auf eine mögliche Kompromittierung prüfen. Verweise zum Update und zu den IoCs finden Sie in der unten verlinkten Sicherheitsmeldung von Cisco.

• Installieren Sie umgehend die CUCM-Version 15SU3.
• Prüfen Sie Ihre Systeme ggf. mit den von Cisco bereitgestellten IoCs.