Cisco meldt exploitcode voor kritiek lek in Unified Communications Manager

In dit artikel:

Cisco waarschuwt voor een kritieke kwetsbaarheid (CVE-2026-20230) in de Unified Communications Manager, het VoIP-platform dat telefoongesprekken verwerkt. Door onjuiste verwerking van bepaalde HTTP-requests kan een externe, niet-geauthenticeerde aanvaller met een speciaal geprepareerd verzoek bestanden naar het onderliggende besturingssysteem schrijven en uiteindelijk root-toegang verkrijgen. Misbruik is alleen mogelijk als de WebDialer-functie is ingeschakeld; die optie staat niet standaard aan en maakt bellen via web- en desktopclients mogelijk.

De fout kreeg een CVSS-score van 8,6; hoewel dat onder de gebruikelijke kritieke drempel van 9,0 valt, kwalificeert Cisco het probleem als kritiek vanwege de mogelijkheid tot volledige systeemcompromittering. Er bestaat inmiddels publieke proof-of-concept-exploitcode, al zijn er nog geen aanwijzingen voor wijdverbreid actief misbruik. Cisco heeft beveiligingsupdates uitgebracht en raadt organisaties dringend aan die patches te installeren. Aanvullende mitigaties zijn het uitschakelen van WebDialer wanneer niet nodig, beperken van toegang tot beheerinterfaces en het monitoren van verdachte verzoeken.