A Cisco lançou correções de segurança urgentes para resolver uma vulnerabilidade crítica que afeta os seus produtos de Comunicações Unificadas e Webex Calling. A falha, identificada como CVE-2026-20045, permite a execução remota de código e já está a ser explorada ativamente como um zero-day por cibercriminosos.
Acesso total ao sistema
O problema reside numa validação incorreta de dados introduzidos pelo utilizador em pedidos HTTP. De acordo com a explicação técnica, um atacante pode explorar esta falha enviando uma sequência de pedidos especificamente criados para a interface de gestão baseada na web do dispositivo afetado.
Se o ataque for bem-sucedido, permite que o intruso obtenha acesso ao nível de utilizador do sistema operativo subjacente e, posteriormente, eleve os privilégios para "root". Isto significa que o atacante pode ganhar controlo total sobre o servidor comprometido. Embora a pontuação CVSS seja de 8.2, a Cisco atribuiu-lhe uma classificação de gravidade Crítica devido à natureza do acesso administrativo que permite.
Os produtos afetados por este erro incluem o Cisco Unified Communications Manager (Unified CM), Unified CM Session Management Edition (SME), Unified CM IM & Presence, Cisco Unity Connection e Webex Calling Dedicated Instance.
Sem soluções alternativas
A equipa de resposta a incidentes de segurança da empresa (PSIRT) confirmou que já foram observadas tentativas de exploração desta vulnerabilidade em ambiente real. A tecnológica sublinha que não existem soluções alternativas (workarounds) para mitigar o risco sem instalar as atualizações oficiais, pelo que se recomenda a atualização imediata do software para as versões corrigidas indicadas no ficheiro README de cada produto.
A gravidade da situação levou a Agência de Cibersegurança e Infraestrutura dos EUA (CISA) a adicionar a vulnerabilidade ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), dando às agências federais um prazo até 11 de fevereiro de 2026 para implementar as correções, conforme detalhado no comunicado oficial da Cisco.
Este alerta surge pouco tempo depois de a empresa ter corrigido outras falhas de segurança importantes no início deste mês, incluindo problemas no Identity Services Engine (ISE) e um zero-day no AsyncOS, demonstrando um período de pressão elevada sobre as infraestruturas de rede empresariais.
Nenhum comentário
Seja o primeiro!