Cisco ha publicado nuevos parches para abordar lo que describió como una vulnerabilidad de seguridad «crítica» que afecta a varios productos de comunicaciones unificadas (CM) y a la instancia dedicada de llamadas de Webex, y que se ha explotado activamente como un día cero en el mercado.

La vulnerabilidad, CVE-2026-20045 (puntuación CVSS: 8.2), podría permitir a un atacante remoto no autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente de un dispositivo susceptible.

«Esta vulnerabilidad se debe a una validación incorrecta de la entrada proporcionada por el usuario en las solicitudes HTTP», dijo Cisco dijo en un aviso. «Un atacante podría aprovechar esta vulnerabilidad enviando una secuencia de solicitudes HTTP diseñadas a la interfaz de administración basada en la web de un dispositivo afectado. Un ataque exitoso podría permitir al atacante obtener acceso a nivel de usuario al sistema operativo subyacente y, luego, elevar los privilegios al usuario root».

La calificación crítica de la falla se debe al hecho de que su explotación podría permitir que la escalada de privilegios se arraigara, agregó. La vulnerabilidad afecta a los siguientes productos:

  • CM unificado
  • Edición de administración de sesiones (SME) de Unified CM
  • Servicio unificado de mensajería instantánea y presencia (IM&P) de CM
  • Conexión de Unity
  • Instancia dedicada de llamadas de Webex

Se ha abordado en las siguientes versiones:

Instancia dedicada de llamadas Cisco Unified CM, CM SME, CM IM&P y Webex -

  • Versión 12.5: migración a una versión fija
  • Versión 14 - 14SU5 o aplique el archivo de parche: CiscoCM.v14SU4A_CSCWR21851_REMOTE_CODE_v1.cop.sha512
  • Versión 15 - 15SU4 (marzo de 2026) o aplique el archivo de parche: CiscoCM.v15SU2_CSCWR21851_Remote_Code_v1.cop.sha512 o CiscoCM.v15SU3_CSCWR21851_REMOTE_CODE_v1.cop.sha512

Conexión Cisco Unity

  • Versión 12.5: migración a una versión fija
  • Versión 14 - 14SU5 o aplique el archivo de parche: ciscocm.cuc.cscwr29208_c0266-1.cop.sha512
  • Versión 15 - 15SU4 (marzo de 2026) o aplique el archivo de parche: ciscocm.cuc.cscwr29208_c0266-1.cop.sha512

La empresa de equipos de red también dijo que está «al tanto de los intentos de explotación de esta vulnerabilidad en estado salvaje», e instó a los clientes a actualizar a una versión de software fija para solucionar el problema. Actualmente no hay soluciones alternativas. Se ha atribuido a un investigador externo anónimo el descubrimiento y la notificación del error.

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) a agregar CVE-2026-20045 a sus vulnerabilidades explotadas conocidas ( KEV ), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 11 de febrero de 2026.

El descubrimiento del CVE-2026-20045 se produce menos de una semana después de que Cisco publicara actualizaciones para otra vulnerabilidad de seguridad crítica que se explotaba activamente y que afectaba al software AsyncOS para Cisco Secure Email Gateway y Cisco Secure Email and Web Manager ( CVE-2025-20393 , puntuación CVSS: 10,0) que podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.