Cisco Unified CM Flaw Exploited After PoC Reveals File-Write Path to Root

Un atacante está explotando activamente una vulnerabilidad crítica en Cisco Unified Communications Manager y Session Management Edition, identificada como CVE-2026-20230, que permite escribir archivos arbitrarios y escalar privilegios a root. La falla, con un puntaje CVSS de 8.6, afecta al servicio WebDialer (deshabilitado por defecto). Cisco ha lanzado parches en las versiones 14SU6 y 15SU5, y recomienda deshabilitar el servicio si no es posible aplicar la actualización inmediata. El SSD Secure Disclosure publicó detalles técnicos, y CISA agregó la vulnerabilidad a su catálogo KEV el 25 de junio de 2026, con plazo de corrección para el 28 de junio.

Actores de amenazas han comenzado a explotar una vulnerabilidad crítica recientemente divulgada que afecta a Cisco Unified Communications Manager (Unified CM) y Unified Communications Manager Session Management Edition (Unified CM SME).

La vulnerabilidad, registrada como CVE-2026-20230 (puntuación CVSS: 8.6), es un caso de validación de entrada incorrecta para solicitudes HTTP específicas que podría permitir a un atacante remoto no autenticado realizar ataques de falsificación de solicitudes del lado del servidor (SSRF) a través de un dispositivo afectado.

"Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP manipulada a un dispositivo afectado. Una explotación exitosa podría permitir al atacante escribir archivos en el sistema operativo subyacente que podrían usarse más tarde para escalar a root", según el aviso de Cisco publicado a principios de este mes.

En una publicación compartida en X a principios de esta semana, Defused Cyber dijo que observó explotación activa de la vulnerabilidad en ataques. "Esto está siendo explotado actualmente desde una sola fuente utilizando un PoC no verificado, con cargas útiles de escritura de archivos file:// con formato genuino que llegan a nuestros señuelos", señaló.

Sin embargo, para que la explotación sea exitosa, el servicio WebDialer debe estar habilitado. Está deshabilitado por defecto. Para verificar si WebDialer está habilitado, los usuarios pueden seguir estos pasos:

Inicie sesión en la interfaz de administración de Cisco Unified CM.
Desde el menú de navegación, elija Cisco Unified Serviceability y haga clic en Ir.
Desde el menú Herramientas, elija Centro de control - Servicios de funciones.
En la sección Servicios CTI de la página, verifique si el estado actual del Servicio web Cisco WebDialer es Iniciado o No ejecutándose.
Si el estado es Iniciado, WebDialer está habilitado.

La vulnerabilidad ha sido parcheada en Unified CM y Unified CM SME versiones 14SU6 y 15SU5. Si no es posible aplicar el parche de inmediato, se recomienda deshabilitar el servicio WebDialer hasta que se pueda aplicar una solución.

SSD Secure Disclosure ha publicado desde entonces detalles técnicos adicionales de CVE-2026-20230, describiéndola como una falla que permite a atacantes no autenticados escribir archivos arbitrariamente en el servidor aprovechando el componente Webdialer para obtener el nombre de host real del objetivo y, finalmente, lograr la ejecución de código.

Cisco aún no ha actualizado el aviso para reflejar el estado de explotación. La semana pasada, la empresa de seguridad de redes lanzó actualizaciones de seguridad para una falla de seguridad de gravedad media en Catalyst SD-WAN Manager (CVE-2026-20262, puntuación CVSS: 6.5) que ha sido explotada activamente en la naturaleza.

Actualización

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA), el 25 de junio de 2026, agregó CVE-2026-20230 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias de la Rama Ejecutiva Civil Federal (FCEB) aplicar las correcciones antes del 28 de junio de 2026.