Duas vulnerabilidades críticas no Cisco Unified Contact Center Express (Unified CCX) permitem que atacantes remotos não autenticados executem comandos arbitrários e assumam o controle de sistemas afetados, com impacto direto na disponibilidade e integridade de ambientes de contact center. As falhas, CVE-2025-20354 e CVE-2025-20358, foram divulgadas em 5 de novembro de 2025 e ambas receberam classificação de severidade crítica, com pontuações CVSS de 9,8 e 9,4 respectivamente, sem workarounds disponíveis.
CVE-2025-20354: RCE via Java RMI como root
O CVE-2025-20354 afeta o processo Java Remote Method Invocation (RMI) do Unified CCX e é causado por mecanismos de autenticação inadequados em recursos específicos expostos por esse serviço. Um atacante remoto, sem credenciais, pode enviar arquivos especialmente criados por meio da interface RMI e, a partir disso, executar comandos arbitrários no sistema subjacente com privilégios de root, obtendo controle total do servidor.
CVE-2025-20358: bypass de autenticação no CCX Editor
Já o CVE-2025-20358 reside no aplicativo Unified CCX Editor e decorre de falta de autenticação robusta para funções críticas no canal de comunicação entre o editor e o servidor CCX. Explorando essa falha, um atacante pode redirecionar o fluxo de autenticação para um servidor malicioso (por exemplo, via DNS poisoning ou man-in-the-middle), induzindo o CCX Editor a aceitar uma resposta falsa e conceder permissões administrativas para criação e execução de scripts no sistema.
Versões afetadas e correções disponíveis
As vulnerabilidades impactam o Cisco Unified CCX independentemente da configuração, mas não afetam o Cisco Unified Contact Center Enterprise (Unified CCE) nem o Packaged CCE. Segundo a Cisco, são vulneráveis as versões 12.5 SU3 e anteriores, além da 15.0, tendo sido lançadas correções nas versões 12.5 SU3 ES07 para o ramo 12.5 e 15.0 ES01 para o ramo 15.0.
Recomendações de mitigação
A Cisco recomenda fortemente que clientes atualizem imediatamente para as versões corrigidas, pois não há soluções alternativas capazes de mitigar completamente as falhas. Organizações devem priorizar o update de todos os servidores Unified CCX expostos, revisar regras de firewall e segmentação para limitar o acesso ao serviço Java RMI e ao CCX Editor, e monitorar logs para sinais de uploads suspeitos ou execução anômala de scripts, mesmo que até o momento não haja relatos públicos de exploração ativa em campo.






