Cisco advierte sobre vulnerabilidad crítica en Unified CM tras divulgación de exploit
Publicado el
Cisco soluciona CVE-2026-20230 en Unified CM
Cisco ha lanzado un parche para una vulnerabilidad crítica en su sistema Unified Communications Manager (CM), identificada como CVE-2026-20230. Esta brecha de seguridad permite a un atacante no autenticado dentro de la red escribir archivos en el sistema, lo que podría facilitar el acceso a privilegios de root. El código de explotación ha sido hecho público, lo que aumenta el riesgo de ataques.
El Cisco PSIRT ha indicado que, hasta el momento, no se ha observado la explotación activa de esta vulnerabilidad en ataques reales, aunque la disponibilidad del código prueba de concepto (PoC) reduce el tiempo de reacción para los posibles atacantes. La vulnerabilidad se clasifica como un server-side request forgery (SSRF), en la que Unified CM y su Session Management Edition no validan adecuadamente ciertas solicitudes HTTP. Esto permite que una solicitud manipulada lleve al servidor a escribir archivos arbitrarios en el sistema operativo subyacente, constituyendo un punto de entrada para escalada de privilegios.
A pesar de que el CVSS asigna una puntuación base de 8.6, que refleja el impacto en la integridad (sin pérdidas de confidencialidad o disponibilidad), Cisco ha calificado el aviso como Crítico debido a que el resultado final podría ser un acceso completo con privilegios de root. La discrepancia en la puntuación se debe a que la evaluación no toma en cuenta la escalada de privilegios que puede ocurrir tras la escritura del archivo.
Un factor atenuante es que esta vulnerabilidad solo se activa cuando el servicio WebDialer está en funcionamiento, aunque este servicio está desactivado por defecto. Las organizaciones deben verificar su estado en el Cisco Unified CM Administration, accediendo a Cisco Unified Serviceability y revisando el estado del servicio en la sección de CTI Services. Si el estado es "Iniciado", significa que el sistema está expuesto y se recomienda urgentemente aplicar los parches correspondientes.
Para la versión 14, el parche está disponible en la actualización 14SU6. Sin embargo, para la versión 15, la actualización completa 15SU5 no se espera hasta septiembre de 2026, lo que deja a los usuarios en una situación precaria si no aplican el parche interino o desactivan el WebDialer.
La vulnerabilidad ha sido reportada por un investigador independiente en colaboración con SSD Secure Disclosure. Las fallas en Unified CM han sido recurrentes, y en el pasado, Cisco ya había abordado problemas similares, como el caso de un acceso SSH root codificado (CVE-2025-20309) y una ejecución remota de código no autenticada (CVE-2026-20045).
Con un PoC ya disponible y la solución definitiva meses adelante, existe una alta probabilidad de que los atacantes conviertan esta vulnerabilidad en un ataque efectivo. La recomendación es clara: aplicar las actualizaciones de seguridad lo antes posible para mitigar los riesgos asociados.