CVE-2026-20045: Cisco Unified Communications Produkte von Zero Day Schwachstelle betroffen

Eine äußerst kritische Sicherheitslücke wurde in mehreren Cisco Unified Communications-Produkten entdeckt und wird bereits aktiv in freier Wildbahn ausgenutzt. Die als CVE-2026-20045 bezeichnete Schwachstelle ermöglicht es Angreifern, ohne jegliche Authentifizierung vollständige Kontrolle über betroffene Systeme zu erlangen. Cisco hat dieser Schwachstelle einen CVSS-Score von 8.2 zugewiesen, stuft sie jedoch aufgrund der Möglichkeit zur Root-Rechte-Eskalation als kritisch ein. Das Cisco Product Security Incident Response Team bestätigt, dass die Lücke bereits für Angriffe missbraucht wird, was ein sofortiges Handeln aller Betreiber betroffener Systeme erforderlich macht.

Die Schwachstelle betrifft eine breite Palette von Cisco-Produkten, darunter Cisco Unified Communications Manager in allen seinen Varianten, die Session Management Edition, den IM & Presence Service, Cisco Unity Connection sowie Webex Calling Dedicated Instances. Besonders problematisch ist, dass alle Versionen dieser Produkte betroffen sind, unabhängig von ihrer spezifischen Konfiguration. Die Schwachstelle entsteht durch eine unzureichende Validierung von Benutzereingaben in HTTP-Anfragen an die webbasierte Verwaltungsoberfläche dieser Systeme. Angreifer können speziell präparierte HTTP-Anfragen an das Management-Interface senden, typischerweise über Port 8443, und dadurch beliebige Befehle auf dem zugrunde liegenden Betriebssystem ausführen. Was die Situation besonders bedrohlich macht, ist die Tatsache, dass für einen erfolgreichen Angriff keine Authentifizierung erforderlich ist und Angreifer ihre Rechte anschließend auf Root-Ebene eskalieren können.

Die technische Analyse zeigt, dass Angreifer eine Sequenz von manipulierten HTTP-Anfragen an Endpunkte wie den cucm-uds-Service senden können. Diese Anfragen enthalten Command-Injection-Payloads, die es ermöglichen, zunächst mit Benutzerrechten Code auszuführen und dann durch eine zweite Stufe Root-Privilegien zu erlangen. Die öffentlich verfügbaren Exploit-Codes demonstrieren verschiedene Angriffsvektoren, von der einfachen Ausführung von Systembefehlen über das Etablieren von Reverse-Shells bis hin zum Download und der Ausführung weiterer Schadprogramme. In Laborumgebungen konnte nachgewiesen werden, dass ein erfolgreicher Exploit innerhalb von Sekunden vollständige Systemkontrolle ermöglicht, einschließlich der Fähigkeit, alle Kommunikationsdaten abzugreifen, Telefonie-Systeme zu manipulieren und sich lateral im Netzwerk zu bewegen.

Cisco hat umgehend Patches und Software-Updates veröffentlicht, die diese Schwachstelle beheben. Für Systeme, die auf Version 14 laufen, steht das Update 14SU5 zur Verfügung, alternativ können spezifische Patch-Dateien im COP-Format angewendet werden. Für Version 15 wird das für März 2026 angekündigte Update 15SU4 empfohlen, wobei auch hier bereits jetzt Interim-Patches verfügbar sind. Systeme, die noch auf der veralteten Version 12.5 betrieben werden, müssen zwingend auf eine neuere, gepatchte Version migriert werden, da für diese alte Version keine Patches mehr bereitgestellt werden. Die Patch-Dateien sind versionsspezifisch und müssen genau auf die jeweils installierte Software-Version abgestimmt werden, weshalb die mitgelieferten README-Dokumente unbedingt konsultiert werden sollten.

Für Organisationen, die nicht in der Lage sind, sofort zu patchen, sind temporäre Schutzmaßnahmen unerlässlich. Die wichtigste Maßnahme besteht darin, den Zugriff auf die Management-Interfaces strikt zu beschränken und jegliche Exposition zum Internet zu unterbinden. Firewall-Regeln sollten so konfiguriert werden, dass nur explizit autorisierte IP-Adressen auf Port 8443 und andere Management-Ports zugreifen können. Der administrative Zugriff sollte ausschließlich über VPN-Verbindungen erfolgen. Eine strikte Netzwerk-Segmentierung ist ebenfalls wichtig, um im Falle einer Kompromittierung die laterale Bewegung von Angreifern zu erschweren. Diese Maßnahmen können das Risiko signifikant reduzieren, sind jedoch keinesfalls ein Ersatz für das Einspielen der offiziellen Patches.

Related Posts

Protobuf-Bibliothek anfällig für DoS durch JSON-Parsing-Fehler

In der Python-Implementierung der protobuf-Bibliothek (alle Versionen bis einschließlich 6.33.4) wurde eine Sicherheitslücke mit hohem Schweregrad entdeckt. Die Schwachstelle CVE-2026-0994 ermöglicht Denial-of-Service-Angriffe durch Umgehung der Rekursionstiefenbegrenzung beim JSON-Parsing.

Read More

node-tar: Race Condition durch Unicode-Kollisionen auf macOS ermöglicht File Overwrite

Im npm-Paket tar (node-tar) wurde eine sicherheitsrelevante Race-Condition-Schwachstelle entdeckt, die speziell macOS-Systeme mit APFS- oder HFS+-Dateisystemen betrifft. Die Lücke ist als GHSA-r6q2-hw4h-h46w veröffentlicht und betrifft alle Versionen bis einschließlich 7.5.3. Version 7.5.4 schließt das Problem.

Read More

glob CLI erlaubt Command Injection über -c/--cmd-Option

Im npm-Paket glob wurde eine schwerwiegende Command-Injection-Schwachstelle in der Kommandozeilenoberfläche entdeckt. Betroffen sind die Versionen >= 10.2.0 bis < 10.5.0 sowie 11.0.x. Die Lücke ist unter CVE-2025-64756 registriert und wird mit hohem Schweregrad (CVSS 8.8) bewertet.

Read More