思科统一通信管理器漏洞允许远程攻击者展开攻击

思科近期已从其统一通信管理器(Unified CM)中删除了一个后门帐户，该帐户允许远程攻击者以root权限登录未修补的设备。该漏洞CVE-2025-20309（10）是由root帐户的静态用户凭据引起的，该凭据旨在用于开发和测试期间。根据思科周三发布的安全公告，CVE-2025-20309会影响思科Unified CM和Unified CM SME Engineering Special (ES)版本15.0.1.13010-1至15.0.1.13017-1。目前没有针对该漏洞的变通方法，管理员只能将易受攻击的设备升级到Cisco Unified CM和Unified CM SME 15SU3或应用公告中的补丁文件来修复该漏洞并删除后门。