La vulnerabilidad CVE-2026-20230 en Cisco Unified Communications Manager ya aparece ligada a intentos de explotación en ataques reales. El fallo, de tipo SSRF, requiere que WebDialer esté activado y permite a un atacante sin autenticación escribir ficheros en el sistema, un paso que puede allanar una escalada de privilegios hasta root.
Varias organizaciones que utilizan Cisco Unified Communications Manager (Unified CM), y su edición Cisco Unified Communications Manager Session Management Edition (Unified CM SME), afrontan estos días una prioridad clara: revisar si tienen activado WebDialer y aplicar las correcciones publicadas por Cisco. El motivo no es teórico. Ya se han visto intentos de explotación en campañas activas vinculadas a CVE-2026-20230, un fallo con severidad alta que el fabricante califica como Critical.
El defecto encaja en una categoría conocida pero muy peligrosa en entornos corporativos: SSRF (Server-Side Request Forgery). En la práctica, un atacante remoto sin autenticar puede forzar al servidor a realizar solicitudes HTTP manipuladas a destinos internos o controlados, debido a una validación insuficiente en peticiones concretas. En este caso el alcance va más allá de ‘mirar’ recursos internos: la cadena descrita permite escribir ficheros arbitrarios en el sistema operativo subyacente. Esa capacidad no equivale automáticamente a tomar el control total, pero sí deja el terreno preparado para una escalada de privilegios que acabe en ejecución como root.
El detalle que marca la diferencia en la exposición es WebDialer. La explotación depende de que el servicio esté habilitado, y en muchas instalaciones viene desactivado por defecto, lo que reduce el riesgo para parte del parque. Aun así, basta una configuración heredada o un despliegue con requisitos específicos para abrir la puerta. El interés de los atacantes crece cuando existe una prueba de concepto pública, y en este caso ya circula.
Cisco publicó actualizaciones el 3 de junio de 2026. No hay soluciones alternativas que mitiguen por completo el fallo sin actualizar, así que la recomendación pasa por parchear. Mientras llega la ventana de mantenimiento, deshabilitar WebDialer si no resulta imprescindible recorta superficie expuesta.
Para equipos de seguridad, la respuesta práctica empieza por localizar instancias de Unified CM y Unified CM SME con WebDialer activo, especialmente en entornos accesibles desde redes no confiables. Después toca aplicar las versiones corregidas: en Unified CM 14, la ruta indicada pasa por 14SU6. En Unified CM 15, conviene planificar la actualización a 15SU5, prevista para septiembre de 2026, o valorar COP1 si encaja con el entorno.
La parte menos visible, y a menudo la más útil, está en la verificación posterior. Conviene revisar registros y telemetría en busca de patrones compatibles con SSRF y con eventos de escritura de ficheros inusuales, además de elevar la monitorización en servidores de comunicaciones, que suelen quedar fuera del foco habitual. Y, como medida defensiva transversal, limitar el acceso de red a interfaces y servicios de administración, acotándolo a segmentos de gestión, reduce el margen de maniobra si alguien intenta repetir la jugada.
Más información
- BleepingComputer – Cisco Unified CM flaw CVE-2026-20230 now exploited in attacks : https://www.bleepingcomputer.com/news/security/cisco-unified-cm-flaw-cve-2026-20230-now-exploited-in-attacks/
- Cisco – Cisco Unified Communications Manager Server-Side Request Forgery Vulnerability : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW
- SecurityWeek – Hackers Exploiting Cisco Unified CM Vulnerability : https://www.securityweek.com/hackers-exploiting-cisco-unified-cm-vulnerability/
Deja una respuesta