返回
快讯

Cisco Unified CM 漏洞被利用,PoC 公开后可写文件并提权到 root

Cisco Unified Communications Manager 与 Unified CM SME 近日披露的高危漏洞 CVE-2026-20230 已被威胁行为者利用。该缺陷可让未认证远程攻击者发起 SSRF,并在启用 WebDialer 时写入文件,进一步可能提权到 root。

CVE-2026-20230CVE-2026-20262

威胁行为者已经开始利用一个最近披露、影响 Cisco Unified Communications Manager (Unified CM) 和 Unified Communications Manager Session Management Edition (Unified CM SME) 的关键安全漏洞。

该漏洞被编号为 CVE-2026-20230(CVSS score: 8.6),属于针对特定 HTTP requests 的 improper input validation,可能允许未认证的远程攻击者通过受影响设备执行 server-side request forgery (SSRF) 攻击。

Cisco 在本月较早时候发布的一份 advisory 中表示:“攻击者可以通过向受影响设备发送精心构造的 HTTP request 来利用这个漏洞。成功利用后,攻击者可向底层 operating system 写入文件,之后可用于提升到 root。”

Defused Cyber 本周早些时候在 X 上分享的一篇帖子中表示,它观察到该漏洞正在攻击中被实际利用。它指出:“目前正在通过单一来源使用未经审核的 PoC 被利用,真正格式化的 file:// file-write payloads 正落到我们的 decoys 上。”

不过,要成功利用该漏洞,WebDialer service 必须已启用。它默认是 disabled。要检查 WebDialer 是否已启用,用户可以完成以下步骤 -

Log in to the Cisco Unified CM Administration interface

From the Navigation menu, choose Cisco Unified Serviceability and click Go

From the Tools menu, choose Control Center - Feature Services

In the CTI Services section of the page, check whether the current status of the Cisco WebDialer Web Service is Started or Not Running

If the status is Started, WebDialer is enabled

该漏洞已在 Unified CM 和 Unified CM SME versions 14SU6 and 15SU5 中修补。如果无法立即打补丁,建议在可以应用修复之前先 disable WebDialer service。

SSD Secure Disclosure 之后发布了 CVE-2026-20230 的更多技术细节,将其描述为一个漏洞,允许未认证攻击者借助 Webdialer component 在 server 中任意写入文件,以获取目标的真实 hostname,并最终实现 code execution。

Cisco 目前仍未更新该 advisory 以反映其被利用的状态。上周,这家 network security company 还发布了针对 Catalyst SD-WAN Manager 中一个中等严重性安全漏洞(CVE-2026-20262,CVSS score: 6.5)的 security updates;该漏洞已在野外被积极利用。

Update

U.S. Cybersecurity and Infrastructure Security Agency (CISA) 已于 2026-06-25 将 CVE-2026-20230 加入其 Known Exploited Vulnerabilities (KEV) catalog,并要求 Federal Civilian Executive Branch (FCEB) agencies 在 2026-06-28 前应用修复。