Cisco ha publicado actualizaciones de seguridad para asaltar una equivocación de seguridad de severidad máxima en el Apoderado de Comunicaciones Unificadas (CM UNIFITY) y Unified Communications Manager Session Management Edition (unificada CM SME) que podría permitir que un atacante inicie sesión en un dispositivo susceptible como favorecido de la raíz, lo que les permite obtener privilegios elevados.
La vulnerabilidad, rastreada como CVE-2025-20309lleva una puntuación CVSS de 10.0.
«Esta vulnerabilidad se debe a la presencia de credenciales estáticas de favorecido para la cuenta raíz que se reserva para su uso durante el avance», dijo Cisco en un aviso publicado el miércoles.
«Un atacante podría explotar esta vulnerabilidad mediante el uso de la cuenta para iniciar sesión en un sistema afectado. Una exploit exitosa podría permitir al atacante iniciar sesión en el sistema afectado y ejecutar comandos arbitrarios como el favorecido raíz».
Las credenciales codificadas como esta generalmente provienen de pruebas o soluciones rápidas durante el avance, pero nunca deben ganar a los sistemas en vivo. En herramientas como Unified CM que manejan llamadas de voz y comunicación en una empresa, Root Access puede permitir que los atacantes se muevan más profundamente en la red, escuchen las llamadas o cambien cómo los usuarios inician sesión.
El comandante de equipos de redes dijo que no encontró evidencia de que el defecto fuera explotado en la naturaleza, y que se descubrió durante las pruebas de seguridad internas.
CVE-2025-20309 afecta las versiones unificadas de CM y CM unificada CM 15.0.1.13010-1 a 15.0.1.13017-1, independientemente de la configuración del dispositivo.
Cisco igualmente ha publicado indicadores de compromiso (IOC) asociados con la equivocación, lo que indica una explotación exitosa daría como resultado una entrada de registro a «/var/log/activo/syslog/secure» para el favorecido raíz con permisos raíz. El registro puede recuperar ejecutando el venidero comando de la interfaz de semirrecta de comandos –
cucm1# file get activelog syslog/secure
El avance se produce simplemente días posteriormente de que la compañía solucionó dos fallas de seguridad en el motor de servicios de identidad y el conector de identidad pasivo de ISE (CVE-2025-20281 y CVE-2025-20282) que podría permitir que un atacante no calificado ejecute comandos arbitrarios como el favorecido root.
