Es existiert eine Sicherheitslücke in mehreren Unified-Communications-Produkten von Cisco. Angreifer können darüber ohne Anmeldung Schadcode aus dem Netz einschleusen und ihn mit Root-Rechten ausführen. Daher sollten IT-Verantwortliche die bereitstehenden Updates zügig anwenden. Cisco hat bereits Angriffsversuche aus dem Netz auf die Schwachstelle beobachtet, teilt das Unternehmen in einer Sicherheitsmeldung mit.

Cisco schreibt: „Eine erfolgreiche Attacke erlaubt den Angreifern, Zugriff auf Benutzerebene auf das Betriebssystem zu erlangen und dann die Berechtigungen auf ‚root‘ auszuweiten“ (CVE-2026-20045, CVSS 8.2, Risiko abweichend „kritisch“).

Abweichend von der CVSS-Risikostufe „hoch“ stuft Cisco das Risiko als „kritisch“ ein. Das Security Advisory nennt als Grund, dass der Missbrauch der Lücke darin münden kann, dass Angreifer ihre Privilegien zu “root“ erweitern können.

Die betroffenen Produkte lauten Unified CM, Unified CM SME, Unified CM IM&P, Unity Connection und Webex Calling Dedicated Instance. Die für März 2026 angekündigte Software-Version 15SU4 sowie die bereits erhältliche Version 14SU5 schließen die Lücke.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE