Cisco ha publicado correcciones fuera de ciclo para Unified Contact Center Express (UCCX) que mitigan varias vulnerabilidades graves, con dos fallos críticos: CVE-2025-20354 (CVSS 9.8) y CVE-2025-20358 (CVSS 9.4). De acuerdo con Cisco PSIRT, no hay exploits públicos ni ataques confirmados al momento de redactar este artículo, pero el riesgo operativo es elevado y requiere actualización inmediata.
CVE-2025-20354: ejecución remota de código por Java RMI con privilegios root
El investigador Jahmel Harris descubrió un fallo en la implementación de Java Remote Method Invocation (RMI) en UCCX que permite a un atacante no autenticado enviar un artefacto malicioso y alcanzar RCE con privilegios root. En términos prácticos, el vector elimina barreras de acceso y de privilegios a la vez, una combinación especialmente crítica en plataformas de voz y contact center, donde la disponibilidad es esencial para mantener SLAs y procesos de negocio.
Impacto en operaciones y superficie de ataque
UCCX, diseñado como “contact center en caja” y desplegado con frecuencia para hasta 400 agentes por sitio, concentra componentes de enrutamiento, grabación y datos sensibles de clientes. La exposición de RMI sin controles estrictos se ha documentado en evaluaciones de seguridad como punto de partida para la escalada de privilegios y el movimiento lateral. En entornos de voz, un compromiso puede traducirse en desvío de llamadas, modificación de guiones de atención, interrupciones de servicio y pérdida de datos, con impacto financiero y reputacional.
CVE-2025-20358: bypass de autenticación en CCX Editor y ejecución de scripts
El segundo fallo crítico afecta a CCX Editor y permite a un atacante no autenticado manipular el flujo de verificación para que el editor considere exitosa la autenticación. El resultado es la capacidad de crear y ejecutar scripts arbitrarios con privilegios administrativos, alterando lógicas de enrutamiento, persistiendo en el entorno y abriendo la puerta a acciones posteriores con alto impacto.
Otras correcciones: Cisco ISE y vulnerabilidades adicionales en Contact Center
Cisco también abordó CVE-2025-20343 en Identity Services Engine (ISE), cuya explotación puede provocar denegación de servicio y reinicios inesperados. En paralelo, se publicaron cuatro CVE adicionales en la familia Contact Center —CVE-2025-20374, CVE-2025-20375, CVE-2025-20376 y CVE-2025-20377— que, bajo determinados privilegios previos, facilitan la elevación a root, ejecución de comandos, lectura de datos sensibles y carga de archivos. En cadena, estos fallos pueden amplificar las consecuencias de una intrusión inicial.
Versiones corregidas y mitigaciones recomendadas
Cisco recomienda actualizar UCCX a 12.5 SU3 ES07 o 15.0 ES01, según la rama instalada. Hasta aplicar parches, implemente medidas compensatorias: restringir el acceso a Java RMI y consolas administrativas por ACLs y segmentación (VLANs/SDN), aplicar el principio de mínimo privilegio, activar logging detallado y supervisar anomalías de autenticación. Revise la integridad de los scripts en CCX Editor y limite la administración a redes de gestión aisladas. En el plano de red, una lista de permitidos estricta y el bloqueo de puertos asociados a RMI (p. ej., registros en 1099 y puertos dinámicos) reducen el riesgo; según la guía de Cisco PSIRT, priorice la exposición cero hacia Internet.
Detección y respuesta: señales prácticas
Busque conexiones inusuales hacia servicios Java, creación o modificación no autorizada de guiones de CCX y procesos de Java ejecutando comandos del sistema. La correlación de eventos en SIEM, junto con reglas en IDS/IPS para tráfico JRMP/RMI, mejora la detección temprana. Mantener inventario de activos, revisión periódica de superficies expuestas y pruebas de parcheo en entornos de staging aceleran el tiempo de mitigación.
Reducir la ventana de exposición es clave. Establezca un proceso ágil para evaluar boletines de Cisco PSIRT, automatice el despliegue de parches en laboratorio y producción, y actualice los planes de respuesta a incidentes para infraestructura de voz. Capacitar a los equipos, reforzar la segmentación y mantener monitorización continua disminuye la probabilidad de explotación y sus costes asociados.
