A Cisco lançou patches para uma vulnerabilidade crítica em seu sistema Unified Communications Manager (CM), plataforma usada para gerenciar chamadas empresariais. A falha, classificada como grave, permite que um atacante remoto execute código não autorizado sem necessidade de autenticação. A urgência da correção aumentou depois que pesquisadores publicaram um exploit funcional, expondo milhares de empresas a possíveis invasões em suas redes de comunicações.
Detalhes técnicos do patch e da vulnerabilidade 🔧
A vulnerabilidade, identificada como CVE-2025-20124, reside na interface de administração web do Unified CM. Ela se origina de uma validação incorreta de dados de entrada, o que permite injetar comandos arbitrários. A Cisco recomenda atualizar para a versão 15.0.1.23900-1 ou posteriores. Além disso, sugere restringir o acesso às interfaces de administração por meio de listas de controle de acesso (ACL) e segmentação de rede. O exploit público, disponível em repositórios do GitHub, simplifica o ataque, portanto a atualização é urgente.
O exploit que chegou antes do café de segunda-feira ☕
Parece que os pesquisadores gostam mais de compartilhar brinquedos perigosos do que avisar com antecedência. A Cisco, como sempre, teve que correr para aplicar patches enquanto os administradores de sistemas suavam pensando em seus servidores de chamadas. O curioso é que o exploit foi publicado bem antes de um fim de semana, como se quisessem que as equipes de TI tivessem algo interessante para fazer na segunda-feira de manhã. Ainda bem que o café estava quente.