CVE-2026-20230 ist ein Fehler bei der Eingabevalidierung. Betroffen sind Deployments von Cisco Unified CM und Unified CM SME, in denen der WebDialer-Dienst aktiviert ist. Dieser Dienst ermöglicht es Nutzern, Anrufe direkt aus einem Webbrowser zu starten, ist aber standardmäßig deaktiviert.

Wie SSD Secure Disclosure zeigte, lässt sich die SSRF-Schwachstelle zu einer vollständigen Übernahme verwundbarer Systeme ausbauen. Die von den Forschern veröffentlichte Angriffskette beginnt mit einer speziell präparierten HTTP-Anfrage an den WebDialer-Dienst. Dadurch interagiert CUCM mit internen Diensten, die normalerweise nicht extern erreichbar sind, darunter ein Apache-Axis-SOAP-Dienst.

Im nächsten Schritt schreibt der Angreifer über eine manipulierte Axis-Dienstdefinition eine schädliche JSP-Datei in ein öffentlich erreichbares Tomcat-Webverzeichnis von CUCM. Diese Datei dient wiederum dazu, eine zweite JSP-Web-Shell am selben Ort abzulegen. Darüber sind Remotecodeausführung und schließlich die Ausweitung der Rechte bis auf Root möglich.

Defused berichtete in dieser Woche, entsprechende Angriffe auf die eigene Köder-Infrastruktur beobachtet zu haben. Bereits einige Tage zuvor registrierte das Unternehmen demnach Scans nach verwundbaren CUCM-Systemen sowie deren Markierung. Am 24. Juni sei die Aktivität dann in umfassende Angriffe übergegangen, die dem von SSD Secure Disclosure veröffentlichten Proof of Concept und der Exploit-Kette sehr ähnlich gewesen seien.

Defused formulierte das knapp: „Ein öffentlicher Proof of Concept für CVE-2026-20230 wurde innerhalb von 24 Stunden bewaffnet.“ Die beobachtete Kette missbrauche die WebDialer-SSRF, um einen manipulierten Apache-Axis-Dienst zu installieren, nutze diesen zum Schreiben einer JSP-Datei der ersten Stufe und lege danach eine Shell zur Befehlsausführung als zweite Stufe ab. Diese sei mit einem Passwort geschützt gewesen, das laut Defused direkt aus dem Proof of Concept übernommen wurde.

Cisco hatte am 3. Juni fehlerbereinigte Versionen veröffentlicht. Der Hersteller forderte Organisationen auf, CVE-2026-20230 als kritische Schwachstelle zu behandeln und nicht lediglich als Problem hoher Schwere, wie es der CVSS-Wert von 8,6 nahelegen könnte. CUCM ist eine zentrale Kommunikationsplattform zur Verwaltung von Sprach-, Video- und Messaging-Diensten; Cisco beziffert die weltweite Nutzung auf rund 30 Millionen Anwender.

Horizon3.ai stellte zudem einen als Schnellreaktionstest bezeichneten Prüfmechanismus bereit, mit dem Organisationen feststellen können, ob die Lücke in ihrer jeweiligen Umgebung ausnutzbar ist. „Der Test führt reale Angriffstechniken ohne Schaden aus und verschafft Teams sofort Klarheit über ihre Exponierung“, erklärte das Unternehmen. In Beiträgen auf X forderte Horizon3.ai betroffene Organisationen auf, Ciscos Gegenmaßnahmen umgehend umzusetzen oder WebDialer zu deaktivieren, falls der Dienst nicht benötigt wird.

Laut Defused sollten Organisationen, die CUCM mit aktiviertem WebDialer einsetzen und CVE-2026-20230 noch nicht gepatcht haben, davon ausgehen, dass ihre Systeme gescannt wurden. Für Umgebungen mit umfangreicher Cisco-Infrastruktur ist das bereits das zweite dringende Patch-Thema in dieser Woche: Zuvor gab es Berichte über Angriffe auf eine separate Schwachstelle in Cisco-Catalyst-SD-WAN-Deployments.