Impatto Sistemico

Critico (77.69)

Sintesi

Disponibile un Proof of Concept (PoC) per la CVE-2026-20230 – già sanata dal vendor – presente in Cisco Unified Communications Manager (CUCM) e Cisco Unified CM Session Management Edition (CUCM SME), note soluzioni Cisco per la gestione delle comunicazioni VoIP aziendali. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di scrivere file arbitrari sul filesystem dei sistemi interessati

Tipologia

• Arbitary File Write

Descrizione e potenziali impatti

È stato recentemente reso pubblico un Proof of Concept (PoC) per la CVE-2026-20230 – di tipo Server-Side Request Forgery e con score CVSS v3.1 pari a 8.6. In dettaglio, un attaccante remoto, tramite richieste HTTP opportunamente predisposte, potrebbe sfruttare la mancata validazione dei dati ricevuti dal componente WebDialer, ottenere quindi accesso a risorse interne e scrivere file arbitrari sul filesystem del sistema target.

Prodotti e/o versioni affette

Cisco Unified CM e Unified CM SME:

• 14, versioni precedenti alla 14SU6
• 15, versioni precedenti alla 15SU5

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili o di applicare le eventuali mitigazioni seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.