Im Kern geht es bei CVE-2026-20230 um eine Server-Side-Request-Forgery in Cisco Unified Communications Manager und dessen Session Management Edition. Bestimmte HTTP-Anfragen werden nicht ausreichend geprüft. Ein nicht authentifizierter Angreifer im Netzwerk kann dadurch eine präparierte Anfrage senden, die das System dazu veranlasst, beliebige Dateien auf dem zugrunde liegenden Betriebssystem abzulegen.

Cisco zufolge ist genau dieses Schreiben von Dateien der erste Schritt. Die so abgelegten Dateien können später genutzt werden, um die Berechtigungen bis auf Root auszuweiten. Damit ist letztlich die höchste Privilegienstufe auf dem System erreichbar.

Auffällig ist die Bewertung der Lücke. Der CVSS-Basiswert liegt bei 8,6. Cisco erklärt den Unterschied zwischen Punktzahl und Einstufung damit, dass der Score nur den Dateischreibvorgang bewertet, also einen Integritätsverlust ohne Auswirkungen auf Vertraulichkeit oder Verfügbarkeit. Die anschließende Rechteausweitung auf Root-Ebene fließt dort nicht ein. Den Sicherheitshinweis stuft Cisco dennoch als kritisch ein, weil der Endzustand vollständige Root-Rechte bedeutet.

Nach Angaben von Ciscos PSIRT gibt es bislang keine Hinweise auf Angriffe, in denen die Schwachstelle bereits ausgenutzt wurde. Allerdings ist Proof-of-Concept-Code schon öffentlich. Das verkürzt nach Einschätzung des Herstellers den zeitlichen Vorlauf, bevor aus der Schwachstelle funktionierende Angriffe werden könnten.

Ganz ohne Einschränkung ist die Lücke nicht ausnutzbar. Sie funktioniert nur, wenn der Dienst WebDialer aktiv ist. WebDialer ist standardmäßig deaktiviert. Für Installationen, in denen der Dienst eingeschaltet wurde, entfällt dieser Schutz jedoch. Cisco beschreibt auch den Prüfpfad: In Cisco Unified CM Administration soll in Cisco Unified Serviceability unter „Tools > Control Center - Feature Services“ der Status von „Cisco WebDialer Web Service“ im Bereich „CTI Services“ kontrolliert werden. Steht der Dienst auf „Started“, ist das System exponiert.

Als wirksame Abhilfe nennt Cisco vor allem das Einspielen von Updates. Für die Produktlinie 14 ist die Korrektur in 14SU6 enthalten. Für Version 15 wird das vollständige Service Update 15SU5 laut Cisco erst im September 2026 erwartet. Bis dahin bleibt für diese Linie entweder der vorläufige COP-Zwischenpatch oder das Abschalten von WebDialer über „Tools > Service Activation“ mit anschließendem Speichern.

Gemeldet wurde die Schwachstelle von einem unabhängigen Forscher, der mit SSD Secure Disclosure zusammenarbeitete.

Der Fall reiht sich in eine Serie schwerwiegender Probleme in Unified CM ein. Im vergangenen Juli entfernte Cisco ein fest kodiertes Root-SSH-Konto aus der Entwicklungsphase, das in der Software verblieben war; die Schwachstelle lief unter CVE-2025-20309 und erhielt einen CVSS-Wert von 10. Im Januar schloss Cisco zudem eine nicht authentifizierte Remote-Code-Ausführung in mehreren Sprachprodukten, geführt als CVE-2026-20045. Diese Lücke wurde bereits aktiv ausgenutzt und deshalb von CISA in die Liste der bekannten ausgenutzten Schwachstellen aufgenommen.