文章总结： 威胁行为者正积极利用思科统一通信管理器（统一CM）的关键SSRF漏洞CVE-2026-20230（CVSS8.6），该漏洞允许未认证攻击者通过构造HTTP请求实现文件写入并提权至root。利用前提需启用WebDialer服务（默认关闭），缓解措施包括升级至14SU6/15SU5版本或临时禁用该服务。技术细节显示攻击已结合PoC实现主机信息获取与代码执行。 综合评分： 85 文章分类： 漏洞分析,威胁情报,漏洞预警,应急响应,解决方案

在PoC显示根文件写入路径后，思科统一CM漏洞被利用

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年6月24日 19:12 北京

在小说阅读器读本章

去阅读

威胁行为者已经开始利用最近披露的影响思科统一通信管理器（统一CM）和统一通信管理器会话管理版（统一CM SME）的关键安全漏洞。

该漏洞被跟踪为CVE-2026-20230（CVSS得分：8.6），是特定HTTP请求的输入验证不当的案例，该请求可能允许未经身份验证的远程攻击者通过受影响的设备进行服务器端请求伪造（SSRF）攻击。

思科在本月早些时候发布的一份咨询中表示，攻击者可以通过向受影响的设备发送精心制作的HTTP请求来利用此漏洞。成功的漏洞可能会允许攻击者将文件写入底层操作系统，这些文件以后可用于提升到根。

在本周早些时候在X上分享的一篇文章中，Defused Cyber表示，它观察到在攻击中积极利用漏洞。它指出，“这目前正在使用未经过的PoC从单一来源进行利用，真正格式化的file://文件写入有效负载降落在我们的decoy上。”

然而，为了成功利用，必须启用WebDialer服务。默认情况下，它是禁用的。要检查是否启用了WebDialer，用户可以完成以下步骤-

• 登录思科统一CM管理界面
• 从导航菜单中，选择“Cisco 统一可维修性”，然后单击“前往”
• 从“工具”菜单中，选取“控制中心”-“功能服务”
• 在页面的“CTI服务”部分，检查Cisco WebDialer Web服务的当前状态是已启动还是未运行
• 如果状态为“已开始”，则WebDialer已启用

该漏洞已在统一CM和统一CM SME版本14SU6和15SU5中修补。如果不能立即修补，建议禁用WebDialer服务，直到可以应用修复。

此后，SSD安全披露发布了CVE-2026-20230的额外技术细节，将其描述为一个缺陷，允许未经身份验证的攻击者通过利用Webdialer组件在服务器中任意写入文件，以获取目标的真实主机名，并最终实现代码执行。

思科尚未更新咨询，以反映开发状态。上周，这家网络安全公司发布了Catalyst SD-WAN Manager（CVE-2026-20262，CVSS得分：6.5）中严重程度的安全漏洞的安全更新，该漏洞在野外被积极利用。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《在PoC显示根文件写入路径后，思科统一CM漏洞被利用》