Im Mittelpunkt der aktuellen Warnung steht CVE-2026-20230, eine Schwachstelle in Cisco Unified CM und Unified CM SME. Cisco beschreibt den Fehler als unzureichende Validierung bestimmter HTTP-Anfragen. Daraus können sich SSRF-Angriffe ergeben.

Nach Angaben des Herstellers kann eine erfolgreiche Ausnutzung dazu führen, dass beliebige Dateien auf dem zugrunde liegenden Betriebssystem abgelegt werden. Diese Dateien könnten anschließend genutzt werden, um Root-Zugriff zu erlangen. Verwundbar sind laut Cisco nur Systeme, bei denen der Dienst WebDialer aktiviert ist. Standardmäßig ist dieser Dienst deaktiviert.

Patches hatte Cisco bereits Anfang Juni bereitgestellt, und zwar für Unified CM und Unified CM SME in Version 14SU6. Zudem kündigte das Unternehmen an, dass die Korrekturen auch in Version 15SU5 enthalten sein werden, die im September erwartet wird.

Schon damals hatte Cisco darauf hingewiesen, dass ein Proof-of-Concept-Code für die Schwachstelle existiert. Zu diesem Zeitpunkt erklärte das Unternehmen jedoch, ihm seien keine Fälle einer Ausnutzung unter realen Bedingungen bekannt. Diese Einschätzung hat Cisco nun geändert: Am Mittwoch aktualisierte der Hersteller seinen Sicherheitshinweis und warnte Kunden, dass die Schwachstelle aktiv in Angriffen ausgenutzt werde.

Cisco erklärte dazu, das Unternehmen empfehle Kunden weiterhin nachdrücklich, auf eine korrigierte Software-Version zu aktualisieren, um die Schwachstelle zu beheben.

Der aktualisierten Warnung war ein Hinweis des Exploit-Intelligence-Unternehmens Defused vorausgegangen. Defused berichtete vor einer Woche, Ausnutzungsversuche „aus einer einzigen Quelle unter Verwendung eines nicht überprüften Proof-of-Concepts“ beobachtet zu haben. Kurz zuvor hatte SSD Secure Disclosure, dem die Entdeckung der Schwachstelle zugeschrieben wird, technische Details und einen Proof-of-Concept veröffentlicht.

Zu diesem Zeitpunkt hatte Cisco gegenüber SecurityWeek noch erklärt, keine Kenntnis von einer böswilligen Nutzung der Schwachstelle zu haben. Inzwischen bestätigt der Hersteller jedoch die Ausnutzung im Umlauf.

Die Schwachstelle trägt einen CVSS-Wert von 8,6 und zählt damit zu den schwerwiegenderen Fehlern in den betroffenen Kommunikationsplattformen. Dass ein funktionsfähiger Proof-of-Concept seit der öffentlichen Offenlegung verfügbar war und erste Angriffsversuche vergangene Woche beobachtet wurden, unterstreicht die kurze Zeitspanne zwischen Bekanntwerden und aktiver Nutzung.