思科修复了Unified CM中CVSS 10级的严重根凭证漏洞，敦促用户立即修补以阻止远程管理员接管。

领先的网络硬件公司思科已发布紧急安全警报并发布更新，以修复其统一通信管理器(Unified CM)和统一通信管理器会话管理版本(Unified CM SME)中的一个严重漏洞。该漏洞编号为CVE-2025-20309，CVSS评分为10.0，为最高严重等级，表明该漏洞极易被利用，并可能造成灾难性后果。

思科在其安全公告中指出，该漏洞源于“为根帐户保留的静态用户凭证，这些凭证仅在开发期间使用” 。简而言之，这些系统出厂时附带一个秘密且不可更改的超级用户帐户（即根用户）的用户名和密码。根用户拥有对系统的完全控制权，能够执行任何命令并访问所有文件。由于这些凭证是静态的，这意味着它们不会更改，也无法被用户删除，因此它们构成了一个持续存在的后门。

攻击者可以使用这些硬编码凭证远程登录受影响的设备，无需任何事先身份验证。一旦以root用户身份登录，他们就能获得完全的管理权限，从而完全控制通信系统。这可能导致各种攻击，从中断服务到窃取敏感数据，甚至利用受感染的系统在网络中发起进一步的攻击。

该安全漏洞影响Cisco Unified CM和Unified CM SME版本，范围从15.0.1.13010-1到15.0.1.13017-1。更重要的是，无论设备如何配置，此漏洞都存在，这使得各种系统都可能受到影响。虽然思科通过内部安全测试发现了该漏洞，并且尚未发现任何证据表明该漏洞在野外被积极利用，但鉴于其极高的严重性，必须立即采取行动。

目前尚无临时解决方案可以缓解此风险。思科已发布软件更新以修复此漏洞，并建议所有受影响的客户立即升级系统。已签订服务合同的客户可以通过其常规渠道获取这些更新，其他客户可以联系思科技术支持中心(TAC)进行免费升级。对于企业而言，迅速应用这些补丁至关重要，以保护其通信基础设施免受潜在的威胁。

“首先，任何使用该平台的组织都需要尽快升级。此外，他们还需要参考思科安全公告中提供的入侵指标(IoI)详情，并立即启动事件响应流程。”总部位于马萨诸塞州伯灵顿的应用安全解决方案提供商Black Duck首席网络安全工程师Ben Ronallo表示。

由于这些凭证属于根（即管理员）帐户，因此存在很大的恶意活动风险。Ben警告说，攻击者可能会修改网络路由，以进行社会工程或数据泄露。