Cisco ha parcheado una vulnerabilidad crítica en Cisco Unified Communications Manager y Unified Communications Manager Session Management Edition que puede permitir que un atacante remoto y no autenticado lance ataques de falsificación de solicitudes del lado del servidor y escriba archivos en el sistema operativo subyacente.
La falla se rastrea como CVE-2026-20230 y se detalla en el informe de Cisco.Asesoramiento del Gerente de Comunicaciones Unificadas. Cisco asignó al problema una puntuación CVSS v3.1 de 8,6, pero calificó el aviso como Crítico porque una explotación exitosa puede conducir a una escalada de privilegios a nivel de raíz.
La vulnerabilidad afecta a Cisco Unified CM y Unified CM SME solo cuando el servicio web Cisco WebDialer está habilitado. Cisco dice que WebDialer está deshabilitado de forma predeterminada, lo que limita la exposición pero no elimina la necesidad de realizar comprobaciones urgentes en entornos que utilizan esta función.
La falla se encuentra en el servicio WebDialer.
CVE-2026-20230 existe porque Unified CM y Unified CM SME no validan correctamente ciertas solicitudes HTTP procesadas a través de WebDialer. Un atacante puede enviar una solicitud diseñada a un dispositivo afectado y obligar al servidor a realizar solicitudes de una manera que no debería.
Este es un problema de falsificación de solicitudes del lado del servidor, o SSRF. ElGuía OWASP SSRFexplica que las fallas de SSRF permiten a los atacantes abusar de un servidor para acceder a recursos internos o externos en su nombre, a menudo sin pasar por los límites normales de la red.
En este caso, Cisco dice que una explotación exitosa puede permitir la creación de archivos arbitrarios en el sistema operativo subyacente. Posteriormente, esos archivos podrían ayudar a un atacante a escalar privilegios a root, lo que le daría control total sobre el servidor de control de llamadas afectado.
| Detalle de vulnerabilidad | Información |
|---|---|
| CVE | CVE-2026-20230 |
| Productos afectados | Cisco Unified CM y Cisco Unified CM SME |
| Componente | Servicio web Cisco WebDialer |
| tipo de debilidad | Falsificación de solicitudes del lado del servidor, CWE-918 |
| Requisitos de ataque | Acceso remoto a la red, sin autenticación, WebDialer habilitado |
| Impacto potencial | Escritura de archivos y posible escalada de privilegios a root |
Por qué el acceso root en Unified CM es algo serio
Cisco Unified CM es una plataforma central para servicios empresariales de voz, vídeo y colaboración. Gestiona el enrutamiento de llamadas, el registro de dispositivos, las funciones de telefonía y otras funciones de comunicación en muchas organizaciones grandes.
Si los atacantes obtienen acceso raíz en un servidor Unified CM, pueden alterar los archivos de configuración, interrumpir los servicios de control de llamadas, crear persistencia, inspeccionar datos confidenciales del servicio o utilizar el sistema comprometido como punto de apoyo en la red más amplia.
BleepingComputer informóque Cisco publicó actualizaciones para la falla y advirtió que el código de explotación de prueba de concepto público estaba disponible. Ese detalle aumenta la urgencia porque el código de explotación público puede acortar el tiempo entre el lanzamiento del parche y los intentos de ataque en el mundo real.
- El ataque se puede lanzar de forma remota a través de la red.
- El atacante no necesita credenciales válidas.
- La falla tiene una complejidad de ataque baja.
- WebDialer debe estar habilitado para su explotación.
- Una explotación exitosa puede crear archivos que ayuden a los atacantes a alcanzar privilegios de root.
Cisco dice que no existe una solución completa
Cisco dice que no existen soluciones alternativas que aborden completamente CVE-2026-20230. La solución completa consiste en actualizar a una versión de software fija o aplicar el parche específico de la versión correspondiente.
Según elAviso de seguridad de Cisco, Unified CM y Unified CM SME 14 están fijos en 14SU6. Para la versión 15, Cisco incluye 15SU5, previsto para septiembre de 2026, o un parche COP específico de la versión.
Los administradores que no pueden aplicar parches inmediatamente pueden reducir la exposición desactivando el servicio web Cisco WebDialer si la empresa no lo necesita. Cisco dice que los clientes pueden verificar el estado desde Cisco Unified Serviceability en Control Center – Feature Services en la sección CTI Services.
| Lanzamiento de Cisco Unified CM o SME | Primera versión fija |
|---|---|
| Lanzamiento 14 | 14SU6 |
| Lanzamiento 15 | 15SU5, previsto para septiembre de 2026, o parche COP |
El código PoC es público y han aparecido reclamos de explotación
Cisco PSIRT dijo que tenía conocimiento del código de explotación de prueba de concepto para la vulnerabilidad. En el momento del aviso de Cisco, la compañía dijo que no tenía conocimiento del uso malicioso de la falla.
Después del aviso,Semana de la seguridad informóque la empresa de inteligencia de explotación Defused había visto evidencia de intentos de explotación contra sistemas de señuelo. Cisco dijo a la publicación del 24 de junio de 2026 que PSIRT aún no tenía conocimiento del uso malicioso de la vulnerabilidad.
Esto crea una ventana de riesgo familiar para los defensores. Incluso si la explotación confirmada sigue siendo limitada, los detalles públicos de la explotación pueden ayudar a los atacantes a buscar sistemas expuestos, probar el punto final de WebDialer e intentar escribir archivos en implementaciones sin parches.
Cómo los administradores pueden reducir el riesgo
Las organizaciones primero deben determinar si WebDialer está habilitado. Si el servicio no es necesario, deshabilitarlo puede reducir la exposición mientras avanzan los planes de parcheo.
Los equipos también deben restringir el acceso a las interfaces de Unified CM y Unified CM SME desde redes que no sean de confianza. Estos sistemas no deberían ser accesibles en gran medida desde Internet, y el acceso a la gestión debería basarse en rutas administrativas confiables.
ElBleepingCobertura informáticaTambién toma nota de la guía de Cisco para verificar y deshabilitar WebDialer a través de Cisco Unified Serviceability. Ese paso puede ayudar a los equipos a confirmar si tienen una configuración expuesta antes de implementar software fijo.
- Actualice los sistemas Unified CM y Unified CM SME afectados a una versión fija.
- Aplique el parche COP correcto donde Cisco proporciona uno para la versión instalada.
- Deshabilite el servicio web Cisco WebDialer si no es necesario.
- Restrinja el acceso de Unified CM a redes administrativas confiables.
- Supervise los puntos finales de WebDialer en busca de solicitudes HTTP inusuales.
- Esté atento a la creación inesperada de archivos en los servidores de Unified CM.
- Revise el acceso privilegiado y los cambios de configuración después de aplicar el parche.
La lección más amplia es que la infraestructura de colaboración debe recibir la misma urgencia que los firewalls, las VPN, los servidores de identidad y otros sistemas centrales o de borde. Una falla en la infraestructura de control de llamadas puede convertirse en algo más que un problema del sistema telefónico si los atacantes la utilizan para obtener acceso raíz y adentrarse más en el entorno.
Los problemas de SSRF merecen atención especial porque a menudo abusan del comportamiento confiable del lado del servidor en lugar de un simple punto final expuesto. ElDescripción general de la SSRF de OWASPrecomienda una sólida validación de entradas, segmentación de la red y controles que impidan que los componentes del lado del servidor lleguen a recursos internos confidenciales.
Por ahora, la acción más importante es clara: verificar si WebDialer está habilitado, implementar el software fijo de Cisco e investigar cualquier actividad HTTP sospechosa o de escritura de archivos en los sistemas Unified CM. ElInforme de la Semana de la Seguridadmuestra por qué los equipos no deberían esperar a una explotación amplia antes de actuar.
Preguntas frecuentes
¿Qué es CVE-2026-20230?
CVE-2026-20230 es una vulnerabilidad de falsificación de solicitudes del lado del servidor en Cisco Unified Communications Manager y Cisco Unified Communications Manager Session Management Edition. Puede permitir que un atacante remoto y no autenticado escriba archivos en el sistema operativo subyacente y potencialmente escale privilegios a root.
¿Qué productos de Cisco se ven afectados por CVE-2026-20230?
La vulnerabilidad afecta a Cisco Unified CM y Cisco Unified CM SME cuando el servicio web Cisco WebDialer está habilitado. Cisco dice que WebDialer está deshabilitado de forma predeterminada.
¿Existe una solución alternativa para la falla SSRF de Cisco Unified CM?
Cisco dice que no existen soluciones que aborden completamente la vulnerabilidad. Como mitigación temporal, los administradores pueden desactivar el servicio web Cisco WebDialer si no es necesario.
¿Qué versiones de Cisco Unified CM solucionan la falla?
Cisco enumera Unified CM y Unified CM SME 14SU6 como la versión fija para el tren 14. Para la versión 15, Cisco incluye 15SU5, previsto para septiembre de 2026, o un parche COP específico de la versión.
¿Se ha aprovechado CVE-2026-20230 en ataques?
Cisco dijo en su aviso que tenía conocimiento del código de explotación de prueba de concepto público, pero no del uso malicioso. SecurityWeek informó más tarde afirmaciones de intentos de explotación de terceros, mientras que Cisco dijo el 24 de junio de 2026 que PSIRT aún no tenía conocimiento del uso malicioso.