Siber Güvenlik

Acil: Cisco, Webex’teki Kritik Sıfır Gün Açığını Kapatıyor

teknomers
teknomers

Giriş

Cisco, birçok Unified Communications (CM) ürünü ve Webex Calling Dedicated Instance üzerinde etkili olan kritik bir güvenlik açığı için yeni yamalar yayınladı. CVE-2026-20045 koduna sahip bu açık, uzaktan yetkisiz bir saldırganın hedef sistem üzerinde keyfi komutlar çalıştırmasına olanak tanımaktadır.

Contents

Saldırı Nasıl Çalışıyor?

CVE-2026-20045 (CVSS puanı: 8.2) adlı güvenlik açığı, HTTP isteklerinde kullanıcı tarafından sağlanan girdilerin hatalı doğrulanmasından kaynaklanmaktadır. Cisco’nun açıklamalarına göre, bir saldırgan, etkilenen cihazın web tabanlı yönetim arayüzüne özel olarak hazırlanmış bir dizi HTTP isteği göndererek bu açığı istismar edebilir. Başarılı bir saldırı sonucunda, saldırgan, alt sistemde kullanıcı düzeyinde erişim elde edebilir ve ardından kök ayrıcalıklarına yükseltebilir.

Etkilenen Sistemler

Bu kritik güvenlik açığı, aşağıdaki ürünleri etkilemektedir:

  • Unified CM
  • Unified CM Session Management Edition (SME)
  • Unified CM IM & Presence Service (IM&P)
  • Unity Connection
  • Webex Calling Dedicated Instance

Çözüm ve Korunma

Güvenlik açığı, aşağıdaki sürümlerde çözülmüştür:

Cisco Unified CM, CM SME, CM IM&P ve Webex Calling Dedicated Instance için:

  • Release 12.5 – Hatanın giderildiği bir sürüme geçiş yapın.
  • Release 14 – 14SU5’e geçiş yapın veya yamanın dosyasını uygulayın: ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512
  • Release 15 – 15SU4 (Mar 2026) veya yamanın dosyasını uygulayın: ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512 veya ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512

Cisco Unity Connection için:

  • Release 12.5 – Hatanın giderildiği bir sürüme geçiş yapın.
  • Release 14 – 14SU5’e geçiş yapın veya yamanın dosyasını uygulayın: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
  • Release 15 – 15SU4 (Mar 2026) veya yamanın dosyasını uygulayın: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512

Cisco, bu açıktan faydalanma girişimlerine karşı dikkatli olunmasını ve müşterileri güvenlik açığını gidermek için hızlı bir yazılım güncellemesi yapmaya çağırmaktadır. Şu anda geçici bir çözüm mevcut değildir.

Sonuç

CISA,  CVE-2026-20045  açığını Bilinen İstismar Edilen Açıklar (KEV) kataloguna eklemiştir ve Federal Sivil Yürütme Daireleri’nin bu düzeltmeleri 11 Şubat 2026 tarihine kadar uygulamasını talep etmektedir. Okuyucuların, sistemlerini en kısa sürede güncelleyerek bu açığı kapatmaları önem arz etmektedir. Eğer hâlâ güncellemeleri gerçekleştirmediyseniz, hemen gerekli adımları atarak sistemlerinizi koruma altına alınız.

Kraliyet Fidye Talepleri 275 Milyon Doları Aştı, Offing’de Marka Yeniden Markalandı
Wi-Fi Hacking, npm Worm ve Diğer Siber Tehditler: 15 Çarpıcı Hikaye
Samsung MagicINFO ve GeoVision IoT Açıklarından Yararlanarak Mirai Botnet Kurulumu
Güvenlik Öncelikli Yaklaşım ile Açıkların Kapatılması.
Aktif Saldırı Altında SolarWinds Serv-U Güvenlik Açığı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale CEO’ların Yüzde 50’si AI’dan Faydalanamadı: Yalnızca %12 Başarı Elde Etti
Sonraki Makale Arknights Endfield’de En İyi Karakterler Listesi Açıklandı

Sanal Medya

Son Eklenenler

Mira Murati Yeniden Sahneye Çıkıyor
Genel
HP, RTX 5080 oyun PC’sinde 2.600 $ indirim yaptı!
Donanım
$559 Nvidia RTX 5070 GPU, en uygun fiyatla 1440p oyun sunuyor
Donanım
Laravel’de Carbon (MultiCarbon) ile Jalali ve Hijri Tarihleri
Yazılım
DDR4 bellek ve anakart üretimi yeniden başlıyor, DDR5’siz geleceğe hazırlık
Donanım
AI token maliyetleri büyük bir sorun haline geliyor, OpenAI çözümler arıyor
Donanım