文章总结： 思科修复了UnityConnection中的两个高危漏洞CVE-2026-20034和CVE-2026-20035。前者允许认证攻击者执行任意根级别代码，后者可使未认证攻击者进行SSRF攻击。漏洞成因均为输入验证不足，思科已提供修复版本和补丁文件，建议用户及时升级。 综合评分： 75 文章分类： 漏洞预警,漏洞分析,应用安全,云安全,网络安全

【安全圈】思科修复高危漏洞，防范 SSRF 与代码执行攻击

安全圈

2026年5月8日 19:01 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

思科已修复其企业产品中的多个高危漏洞，其中包括 Unity Connection 中的服务器端请求伪造（SSRF）漏洞，这些漏洞可能导致代码执行或服务中断。

思科针对影响其企业产品的多个高危漏洞发布了补丁。若这些漏洞被成功利用，可能导致代码执行、服务器端请求伪造（SSRF）或拒绝服务攻击。两个值得关注的漏洞，CVE – 2026 – 20034 和 CVE – 2026 – 20035，影响到思科 Unity Connection。攻击者可利用这些漏洞发动 SSRF 攻击。

思科发布的公告称：“思科 Unity Connection 中的多个漏洞，可能使远程攻击者通过受影响设备执行任意代码，或进行服务器端请求伪造（SSRF）攻击。”

CVE – 2026 – 20034 是思科 Unity Connection 中的一个漏洞，允许经过身份验证的远程攻击者在设备上运行任意根级别代码。该问题源于对用户输入的验证不当，攻击者可发送精心构造的 API 请求，从而完全攻陷系统。思科已发布修复程序，目前没有可用的变通方法。

公告指出：“此漏洞是由于对用户提供的输入验证不足导致。攻击者可通过提交精心构造的 API 请求来利用此漏洞。成功利用该漏洞可使攻击者以根用户身份执行任意代码，这可能导致目标设备被完全攻陷。要利用此漏洞，攻击者必须拥有受影响设备上的有效用户凭据。”

CVE – 2026 – 20035 是思科 Unity Connection Web Inbox 用户界面（UI）中的漏洞，允许未经身份验证的远程攻击者执行 SSRF 攻击。该问题源于对某些 HTTP 请求的验证不当。攻击者通过发送精心构造的请求，可使设备代表他们发送任意网络流量，有可能访问内部服务。

公告称：“思科 Unity Connection Web Inbox 的 Web 用户界面中存在一个漏洞，可能使未经身份验证的远程攻击者通过受影响设备进行 SSRF 攻击。”

“此漏洞是由于对特定 HTTP 请求的输入验证不当导致。攻击者可通过向受影响设备发送精心构造的 HTTP 请求来利用此漏洞。成功利用该漏洞可使攻击者发送源自受影响设备的任意网络请求。”

以下是受影响的版本及修复版本：

| | | | — | — | | 思科Unity Connection 版本 | 修复版本 | | 12.5 及更早版本 | 迁移至修复版本 | | 14.0 | 14SU5 | | 15.0 | 15SU4 或应用补丁文件：1 ciscocm.cuc.V15_CSCwq36774 – CSCwq36834_C0277 – 1.zip |

END

阅读推荐

【安全圈】供水设施遭入侵，Claude AI 助力黑客锁定 OT 资产

【安全圈】供水设施遭入侵，Claude AI 助力黑客锁定 OT 资产

【安全圈】基于 Mirai 的 xlabs_v1 僵尸网络利用 ADB 劫持物联网设备发动 DDoS 攻击

【安全圈】安卓高危0Day漏洞可远程获取Shell访问权限

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】思科修复高危漏洞，防范 SSRF 与代码执行攻击》