Kritiek lek in Cisco-communicatiesoftware
Cisco heeft een dringende veiligheidswaarschuwing uitgegeven voor een kritiek beveiligingslek in verschillende populaire communicatieproducten. Door de kwetsbaarheid kunnen ongeautoriseerde aanvallers op afstand kwaadaardige software uitvoeren en de volledige controle over systemen verkrijgen.
Het lek (geregistreerd als CVE-2026-20045) bevindt zich onder andere in de Cisco Unified Communications Manager (Unified CM) en Cisco Unity Connection. De fout is ontstaan door een onjuiste validatie van gegevens in HTTP-verzoeken naar de beheerinterface. Hierdoor kan een hacker via het internet speciaal geprepareerde verzoeken sturen en zo toegang krijgen tot het onderliggende besturingssysteem.
Van gebruiker naar 'root'
Hoewel de technische score is vastgesteld op 8.2, heeft Cisco de ernst opgeschaald naar 'Kritiek'. De reden hiervoor is dat een aanvaller niet alleen toegang krijgt, maar zijn rechten vervolgens kan verhogen naar het hoogste niveau (root-toegang). Hiermee heeft de hacker volledige macht over het apparaat en de daarop aanwezige data.
Geen tijdelijke oplossing
Cisco benadrukt dat er geen tijdelijke omwegen of workarounds beschikbaar zijn om het risico te beperken. Klanten die gebruikmaken van de getroffen software, waaronder ook de Webex Calling Dedicated Instance, wordt dringend geadviseerd om direct de beschikbare beveiligingsupdates te installeren.
Het bedrijf heeft inmiddels software-updates uitgebracht die het lek dichten. De volledige lijst met kwetsbare versies is te vinden op de officiƫle website van het Cisco Security Advisory.
Meer over Security
Over Witold Kepinski
