【安全圈】Cisco确认UnifiedCM漏洞已在野外被利用

admin 2026-07-04 04:58:23 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Cisco确认其UnifiedCommunicationsManager和UnifiedCMSME中的一个高危漏洞CVE-2026-20230(CVSS8.6)已在野外被利用。该漏洞源于对特定HTTP请求的验证不当,可导致SSRF攻击,进而允许攻击者在操作系统上放置任意文件并获取root权限。仅启用WebDialer服务的设备受影响。Cisco已发布补丁并强烈建议用户升级以消除风险。 综合评分: 60 文章分类: 漏洞预警


cover_image

【安全圈】Cisco 确认 Unified CM 漏洞已在野外被利用

安全圈

2026年7月3日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

Cisco 证实,其 Unified Communications Manager (Unified CM) 和 Unified Communications Manager Session Management Edition (Unified CM SME) 中最近修补的一个漏洞已在野外被利用。

该安全缺陷被追踪为 CVE-2026-20230(CVSS 评分 8.6),被描述为对特定 HTTP 请求的验证不当,这可能允许攻击者发起 SSRF 攻击。

成功利用该漏洞可能导致任意文件被放置到底层操作系统上,随后可用于获取 root 访问权限。

Cisco 表示,只有启用了 WebDialer 服务的设备易受攻击。该服务默认处于禁用状态。

6月初,Cisco 为 Unified CM 和 Unified CM SME 版本 14SU6 推出了针对该 CVE 的补丁,并宣布修复程序也将包含在预计于9月发布的版本 15SU5 中。

Cisco 曾警告称,存在针对该漏洞的概念验证 (PoC) 代码,但表示当时并未意识到其在野外被利用。

周三,该公司更新了其公告,警告客户该安全缺陷正在攻击中被积极利用。 “Cisco 继续强烈建议客户升级到已修复的软件版本以消除此漏洞,”该公司表示。

这一警告是在漏洞情报公司 Defused 报告看到“来自单一来源使用未经审查的 PoC”的利用行为,以及 credited 发现该漏洞的 SSD Secure Disclosure 发布技术信息和 PoC 一周后发出的。

当时,Cisco 告诉 SecurityWeek,它并未意识到该安全弱点有任何恶意使用。

END

阅读推荐

【安全圈】DeepSeek又崩了

【安全圈】Chrome 382漏洞速更!

【安全圈】FortiBleed 凭证窃取活动与 Lynx 勒索软件有关联

【安全圈】Claude被曝暗检中国用户

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

D


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈 《【安全圈】Cisco 确认 Unified CM 漏洞已在野外被利用》

评论:0   参与:  0