Falla de Cisco Unified CM explotada después de que PoC revelara la ruta de escritura de archivos a la raíz

Ravie Lakshmanan24 de junio de 2026Vulnerabilidad/Seguridad de Red

Los actores de amenazas han comenzado a explotar una falla de seguridad crítica revelada recientemente que afecta a Cisco Unified Communications Manager (Unified CM) y Unified Communications Manager Session Management Edition (Unified CM SME).

La vulnerabilidad, rastreada como CVE-2026-20230 (puntuación CVSS: 8,6), es un caso de validación de entrada incorrecta para solicitudes HTTP específicas que podría permitir que un atacante remoto no autenticado realice ataques de falsificación de solicitudes del lado del servidor (SSRF) a través de un dispositivo afectado.

«Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP diseñada a un dispositivo afectado», dijo Cisco en un aviso publicado a principios de este mes. «Un exploit exitoso podría permitir al atacante escribir archivos en el sistema operativo subyacente que podrían usarse más tarde para elevarlos a la raíz».

En una publicación compartida en X a principios de esta semana, Defused Cyber dicho observó una explotación activa de la vulnerabilidad en los ataques. «Esto se está explotando actualmente desde una única fuente utilizando un PoC no examinado, con cargas útiles de escritura de archivos file:// genuinamente formateadas que aterrizan en nuestros señuelos», señaló.

Ciberseguridad

Sin embargo, para que se produzca una explotación exitosa, el servicio WebDialer debe estar habilitado. Está deshabilitado por defecto. Para verificar si WebDialer está habilitado, los usuarios pueden completo los siguientes pasos –

  • Inicie sesión en la interfaz de administración de Cisco Unified CM
  • En el menú de navegación, elija Cisco Unified Serviceability y haga clic en Ir.
  • En el menú Herramientas, elija Centro de control – Servicios de funciones
  • En la sección Servicios CTI de la página, verifique si el estado actual del servicio web Cisco WebDialer está iniciado o no en ejecución.
  • Si el estado es Iniciado, WebDialer está habilitado

La vulnerabilidad ha sido parcheada en Unified CM y Unified CM SME versiones 14SU6 y 15SU5. Si la aplicación inmediata de parches no es una opción, se recomienda desactivar el servicio WebDialer hasta que se pueda aplicar una solución.

Desde entonces, SSD Secure Disclosure ha publicado detalles técnicos adicionales de CVE-2026-20230, describiéndolo como una falla que permite a atacantes no autenticados escribir archivos arbitrariamente en el servidor aprovechando el componente Webdialer para obtener el verdadero nombre de host del objetivo y, en última instancia, lograr la ejecución del código.

Cisco aún tiene que actualizar el aviso para reflejar el estado de explotación. La semana pasada, la empresa de seguridad de redes publicó actualizaciones de seguridad para una falla de seguridad de gravedad media en Catalyst SD-WAN Manager (CVE-2026-20262, puntuación CVSS: 6,5) que ha sido objeto de explotación activa en la naturaleza.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *