InSEKurity of the Week (CW23/2026): Cisco Unified CM WebDialer Unauthentifizierte SSRF-zu-Root (CVE-2026-20230)
Unauthentifizierte SSRF im WebDialer-Dienst von Cisco Unified Communications Manager erlaubt entfernten Angreifern, Dateien auf das zugrunde liegende OS zu schreiben und auf root zu eskalieren -- oeffentlicher Exploit-Code ist bereits verfuegbar
Diese Woche in unserer InSEKurity of the Week-Serie: eine als kritisch eingestufte, unauthentifizierte Server-Side Request Forgery (SSRF) in der WebDialer-Komponente von Cisco Unified Communications Manager (Unified CM) — der Plattform, die in einem riesigen Teil der weltweit grossen Organisationen die Unternehmenstelefonie betreibt. Cisco bewertete die Luecke mit CVSS 8.6, vergab aber ein Security Impact Rating von Critical, denn die SSRF ist nicht das Ende: Sie verschafft einem unauthentifizierten, entfernten Angreifer die Moeglichkeit, beliebige Dateien auf das zugrunde liegende Betriebssystem zu schreiben und von dort auf root zu eskalieren. Cisco veroeffentlichte das Advisory Anfang Juni 2026, und Proof-of-Concept-Exploit-Code ist bereits oeffentlich verfuegbar. Wenn Sie Unified CM mit aktiviertem WebDialer betreiben — eine sehr verbreitete Unternehmenskonfiguration — gehoert diese Luecke ganz nach oben auf Ihre Patch-Liste.
🚨 Zusammenfassung
- CVE-ID: CVE-2026-20230
- CVSS-3.1-Score: 8.6 (High) — Cisco Security Impact Rating: Critical
- CVSS-Vektor:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N - CWE: CWE-918 (Server-Side Request Forgery)
- Betroffene Software: Cisco Unified Communications Manager (Unified CM) und Unified CM Session Management Edition (SME) — nur wenn der WebDialer-Dienst aktiviert ist
- Angriffsvektor: Netzwerk (entfernt, unauthentifiziert) — speziell gestaltete HTTP-Anfrage an den WebDialer-Dienst
- Authentifizierung erforderlich: Keine
- Benutzerinteraktion: Keine
- Auswirkung: Schreiben beliebiger Dateien auf das zugrunde liegende OS, ausgenutzt zur Eskalation auf root — vollständige Kompromittierung der Appliance
- Patch-Status: ✅ Verfügbar (Unified CM 14SU6; 15SU5 im September 2026, mit interimsweisem COP-Patch)
- Veröffentlicht: 3. Juni 2026 (Cisco-Advisory
cisco-sa-cucm-ssrf-cXPnHcW) - Ausnutzungsstatus: Öffentlicher PoC-Exploit-Code verfügbar; zum Redaktionsschluss keine bestätigte Ausnutzung in freier Wildbahn
- CISA KEV: Zum Redaktionsschluss nicht gelistet (09.06.2026)
☎️ Was ist Cisco Unified Communications Manager?
Cisco Unified Communications Manager (Unified CM, früher CallManager) ist der Call-Processing-Kern des Enterprise-Collaboration-Stacks von Cisco. Es ist die IP-Telefonanlage, die IP-Telefone und Softphones registriert, Sprach- und Videoanrufe routet, Rufpläne durchsetzt und Voicemail, Presence, Conferencing und Contact-Center-Dienste zusammenführt. In großen Unternehmen, Behörden, Krankenhäusern und Call-Centern ist Unified CM das System, das ganz buchstäblich die Telefone zum Funktionieren bringt — genau deshalb wird es in enormem Umfang eingesetzt, und genau deshalb hat ein Ausfall oder eine Kompromittierung überproportionale operative Auswirkungen.
Unified CM wird als gehärtete Linux-basierte Appliance (Cisco Voice Operating System) ausgeliefert und stellt eine Reihe webbasierter Administrations- und Benutzerdienste über HTTPS bereit. Einer davon ist WebDialer, ein Click-to-Call-Dienst, der es Benutzern erlaubt, Anrufe direkt aus einer Verzeichnisseite, einem CRM oder einer eigenen Desktop-/Webanwendung heraus zu starten. WebDialer ist standardmäßig deaktiviert, aber es ist ein beliebtes Komfort-Feature und wird in Produktivumgebungen häufig aktiviert — was die Voraussetzung für diese Schwachstelle ist.
Typische Anwendungsfälle
- Unternehmenstelefonie: Registrierung und Anruf-Routing für Zehntausende IP-Telefone über Standorte hinweg.
- Click-to-Call-Integrationen: WebDialer treibt “Aus dem Browser wählen”-Buttons in Verzeichnissen, CRMs und Help-Desk-Tools an.
- Unified Collaboration: Integration mit Voicemail (Unity), Presence/IM (Jabber/Webex) und Conferencing.
- Contact Center: Unified CM bildet die Grundlage der Agententelefonie von Cisco UCCX/UCCE.
- Session Management: Unified CM SME aggregiert und routet zwischen mehreren Call-Control-Clustern und SIP-Trunks.
Da Unified CM ein Tier-0-Dienst für die Kommunikation einer Organisation ist — und da WebDialer über dieselbe HTTPS-Schnittstelle exponiert wird, die Administratoren und Benutzer täglich erreichen — ist ein unauthentifizierter Bug darin ein ernstes Problem.
🔍 Technische Analyse
Beschreibung der Schwachstelle
CVE-2026-20230 ist eine Server-Side Request Forgery (CWE-918) im WebDialer-Dienst von Unified CM und Unified CM SME. Laut Cisco beruht die Lücke auf unzureichender Eingabevalidierung bei bestimmten HTTP-Anfragen. Ein unauthentifizierter, entfernter Angreifer kann sie ausnutzen, indem er eine speziell gestaltete HTTP-Anfrage an ein betroffenes Gerät sendet. Ein erfolgreicher Exploit erlaubt es dem Angreifer, den Server zu vom Angreifer beeinflussten Anfragen zu nötigen und — entscheidend — Dateien auf das zugrunde liegende Betriebssystem zu schreiben, Dateien, die anschließend genutzt werden können, um die Rechte auf root zu eskalieren.
Das entscheidende Detail ist, dass es sich nicht um eine “blinde SSRF, die nur interne Metadaten erreicht” handelt. Das Advisory ist explizit darin, dass das Primitiv in einem beliebigen Dateischreibvorgang auf dem Appliance-OS resultiert. Auf einem Linux-basierten System ist ein Schreib-Primitiv, das auf die richtige Stelle zielt (ein Dienst-Skript, eine geplante Aufgabe, eine von einem root-Prozess verarbeitete Konfigurationsdatei), ein direkter Trittstein von “unauthentifizierte HTTP-Anfrage” zu “Code-Ausführung als root”. Deshalb hat Cisco das Security Impact Rating als Critical eingestuft, obwohl der reine CVSS-Basiswert 8.6 beträgt.
Ursachenanalyse (Root Cause)
- Unzureichende Eingabevalidierung in der HTTP-Verarbeitung von WebDialer (CWE-918): Ein Anfragefeld, das beeinflusst, wohin oder wie der Server eine weiterführende Anfrage stellt, wird nicht korrekt validiert, sodass der Angreifer serverseitige Anfragen lenken kann.
- SSRF zu einem Datei-Schreib-Primitiv eskaliert: Die erzwungene Anfrage liest nicht nur interne Ressourcen aus — sie führt dazu, dass vom Angreifer kontrollierter Inhalt auf das OS-Dateisystem geschrieben wird.
- Erreichbarkeit vor der Authentifizierung: Der verwundbare WebDialer-Codepfad ist ohne jegliche Zugangsdaten erreichbar, es gibt also keine Authentifizierungsbarriere vor dem Bug.
- Privilegierter Dienstkontext: Der Dateischreibvorgang landet so auf dem OS, dass er zur Code-Ausführung als root genutzt werden kann und damit aus einem Webdienst-Bug eine vollständige Appliance-Kompromittierung wird.
- Häufig aktiviertes Feature: WebDialer ist standardmäßig aus, wird aber für Click-to-Call breit aktiviert, sodass die real exponierte Angriffsfläche groß ist.
- Netzwerkerreichbarer HTTPS-Dienst: WebDialer wird über dieselbe Web-Schnittstelle (typischerweise TCP/8443) bereitgestellt, die die Plattform für Benutzer- und Admin-Funktionen exponiert.
Angriffsvektor
Ein vereinfachter Ausnutzungsablauf sieht wie folgt aus. Die untenstehende HTTP-Anfrage ist nur illustrativ — sie zeigt, wo der verwundbare WebDialer-Dienst liegt und die Form des Angriffs, nicht einen funktionierenden Exploit:
# Schritt 1: Unified-CM-Hosts identifizieren und bestaetigen, dass der
# WebDialer-Dienst erreichbar ist. Unified CM exponiert seine Webdienste
# ueber HTTPS auf TCP/8443.
nmap -p 8443,443,80 --open -oG cucm-candidates.gnmap 10.0.0.0/24
# Den WebDialer-Endpunkt pruefen. Ein aktiver WebDialer antwortet auf
# seinem Servlet-Pfad; ein 200/302/401 bedeutet hier, dass das Feature
# aktiviert ist.
curl -sk -o /dev/null -w "%{http_code}\n" \
"https://10.0.0.20:8443/webdialer/Webdialer"
# Schritt 2: Die praeparierte, UNAUTHENTIFIZIERTE Anfrage an den
# WebDialer-Dienst senden. NUR ILLUSTRATIV -- dies loest CVE-2026-20230
# NICHT aus. Die eigentliche Luecke ist unzureichende Validierung eines
# Anfragefelds, das den Server zu einer SSRF noetigt, die eine Datei aufs
# OS schreibt.
curl -sk "https://10.0.0.20:8443/webdialer/Webdialer" \
-H "Content-Type: application/x-www-form-urlencoded" \
--data-urlencode "cmd=doFinishCall" \
--data-urlencode "destination=internes-ziel-oder-schreibziel"
# Schritt 3: Das SSRF-Primitiv wird genutzt, um eine Datei an eine Stelle
# zu schreiben, die das Appliance-OS mit root-Rechten verarbeitet (z. B.
# ein Skript oder eine Aufgabe, die als root laeuft). Bei der naechsten
# Ausfuehrung laeuft die Payload des Angreifers als root.
# Schritt 4: Die resultierende root-Shell / das C2-Beacon entgegennehmen,
# das von der Payload aufgesetzt wird.
nc -nvlp 4444Das obige Snippet ist nur illustrativ — es erreicht den WebDialer-Dienst, implementiert aber CVE-2026-20230 nicht. Der eigentliche Exploit missbraucht unzureichende Eingabevalidierung in einer bestimmten WebDialer-Anfrage, um eine SSRF anzustoßen, die eine Datei auf das zugrunde liegende OS schreibt; diese Datei wird dann genutzt, um root zu erlangen.
Eine vereinfachte Sicht auf die Angriffskette:
Angreifer Opfer (Cisco Unified CM Appliance)
| |
| praeparierte HTTP-Anfrage an WebDialer (TCP/8443) |
|------------------------------------------------------->| keine Auth noetig
| |
| unzureichende Validierung -> SSRF-Primitiv |
|------------------------------------------------------->| Server wird zu einer
| | weiterf. Anfrage genoetigt
| |
| SSRF -> beliebiger Dateischreibvorgang aufs OS |
|------------------------------------------------------->| Angreifer-Inhalt an
| | eine root-verarbeitete
| | Stelle geschrieben
| |
|<-- root-Shell / C2-Beacon ----------------------------<| Payload laeuft als
| | root -> vollstaendige
v v Appliance-KompromittierungAusnutzung in freier Wildbahn
- 03.06.2026 — Cisco veröffentlicht das Advisory
cisco-sa-cucm-ssrf-cXPnHcWund gibt an, dass öffentlich verfügbarer Proof-of-Concept-Exploit-Code existiert, meldet aber zu diesem Zeitpunkt keine Hinweise auf böswillige Nutzung. - Ab 04.06.2026 — Fachpresse (BleepingComputer, The Hacker News, SecurityAffairs) und Schwachstellen-Hersteller (Qualys, Tenable) stufen die Lücke als prioritär ein und betonen, dass der öffentliche PoC die Hürde für eine Ausnutzung deutlich senkt.
- 09.06.2026 — Zum Redaktionsschluss gibt es keine bestätigte Ausnutzung in freier Wildbahn, und die CVE ist noch nicht im CISA-KEV-Katalog — doch mit kursierendem PoC-Code gegen ein hochwertiges Ziel sollten Verteidiger eine baldige Bewaffnung annehmen.
Auswirkungen nach erfolgreicher Ausnutzung
- Root auf der Unified-CM-Appliance: vollständige Kontrolle über den Call-Processing-Kern — der Angreifer besitzt die Plattform, die die Telefonie der Organisation betreibt.
- Anrufabhören und Betrug: Mit root kann ein Angreifer Rufpläne manipulieren, Anrufe umleiten oder aufzeichnen und Toll-Fraud gegen SIP-Trunks ermöglichen.
- Diebstahl von Zugangsdaten und Geheimnissen: Unified CM speichert Konfiguration, Zertifikate und Integrations-Zugangsdaten (LDAP/AD-Bind-Konten, Trunk-Secrets), die aus root-Sicht erreichbar werden.
- Pivot ins Kernnetz: Eine kompromittierte UC-Appliance ist ein stiller, vertrauenswürdiger Brückenkopf tief im Unternehmen, von dem aus lateral bewegt werden kann.
- Persistenz und Manipulation: Root erlaubt die Installation von Backdoors, das Abschalten von Logging und das Überdauern von Neustarts und kleineren Upgrades.
- Dienstunterbrechung: Ein Angreifer (oder ein ungeschickter Exploit-Versuch) kann die Telefonie der gesamten Organisation beeinträchtigen oder lahmlegen — ein erhebliches operatives und Sicherheitsrisiko für Krankenhäuser, Call-Center und Notrufleitungen.
⚠️ Bewertung der Auswirkungen
Unmittelbare Auswirkungen
- Unauthentifiziert, netzwerkerreichbar, root als Ergebnis: keine Zugangsdaten und keine Benutzerinteraktion — nur Netzwerkzugriff auf den WebDialer-Dienst.
- Hochwertiges Ziel: Unified CM ist zentrale Unternehmensinfrastruktur, die in enormem Umfang in Unternehmen, im Gesundheitswesen und in Behörden eingesetzt wird.
- Öffentlicher PoC verfügbar: Die Ausnutzungshürde ist bereits niedrig; massenhaftes Scanning und Bewaffnung folgen typischerweise rasch.
- Verbreitete Konfiguration: WebDialer ist standardmäßig aus, aber für Click-to-Call breit aktiviert, sodass viele Produktiv-Cluster exponiert sind.
- Patchen erfordert Planung: UC-Plattformen unterliegen Change-Control und Hochverfügbarkeit, daher braucht Notfall-Patching/-Mitigation Koordination — jetzt beginnen.
Betroffene Versionen
| Plattform | Verwundbar | Behoben in |
|---|---|---|
| Unified CM / SME 15 | 15SU5 und früher (WebDialer aktiviert) | 15SU5 (September 2026) oder interimsweiser COP-Patch |
| Unified CM / SME 14 | 14SU6 und früher (WebDialer aktiviert) | 14SU6 (jetzt verfügbar) |
| Unified CM / SME 12.5 und früher | Betroffen (WebDialer aktiviert) | Auf eine behobene Version migrieren |
Die Schwachstelle betrifft Unified CM und Unified CM SME nur, wenn der WebDialer-Dienst aktiviert ist. Ciscos Advisory
cisco-sa-cucm-ssrf-cXPnHcWist die maßgebliche Quelle für die exakten behobenen Builds und die COP-Patch-Verfügbarkeit pro Release — gleichen Sie es vor dem Deployment immer ab.
Betroffene Umgebungen
- Jedes Unternehmen mit Unified CM und aktiviertem WebDialer: Das Click-to-Call-Feature ist die Auslösebedingung.
- Großflächige Telefonie-Umgebungen: Multi-Site-Campus, Contact-Center und SME-aggregierte Cluster mit breiter interner Erreichbarkeit.
- Gesundheitswesen und kritische Dienste: wo Telefonie-Verfügbarkeit ein Sicherheitsthema ist und eine Kompromittierung schwerwiegende Folgen hat.
- Aus dem Internet erreichbare UC-Portale (selten, aber real): jede aus nicht vertrauenswürdigen Netzen erreichbare WebDialer-Schnittstelle ist unmittelbar und schwer gefährdet.
- Managed-/Hosted-UC-Anbieter: gemeinsam genutzte Plattformen vergrößern die Schadenswirkung über mehrere Kundenmandanten hinweg.
Angreiferprofile
- Initial-Access-Broker: ein zuverlässiges unauthentifiziertes root auf einer weit verbreiteten Cisco-Appliance ist ein hochwertiger Zugang zum Weiterverkauf.
- Ransomware-Betreiber: ein vertrauenswürdiger interner Brückenkopf mit root beschleunigt die laterale Bewegung Richtung Domäne und Daten.
- Telekommunikations-Betrüger: Kontrolle über Anruf-Routing und SIP-Trunks ermöglicht direkten finanziellen Gewinn durch Toll-Fraud.
- APT-Gruppen: ein stiller, privilegierter Horchposten innerhalb der Unternehmens-Sprachinfrastruktur ist ideal für Spionage.
- Opportunistische Scanner: mit öffentlichem PoC-Code werden aus dem Internet und intern erreichbare WebDialer-Endpunkte massenhaft durchsucht.
🛡️ Gegenmaßnahmen
Sofortmaßnahmen (Priorität 1) ⚡
-
Die behobene Version / den COP-Patch auf jeden betroffenen Unified-CM- und SME-Cluster anwenden. Release 14 jetzt auf 14SU6 aktualisieren; für Release 15 den interimsweisen COP-Patch anwenden, bis 15SU5 erscheint (September 2026):
# Auf der Unified-CM-CLI (admin-Konto) die laufende Version vor und nach # dem Patchen bestaetigen. Mit dem behobenen Build im Cisco-Advisory # cisco-sa-cucm-ssrf-cXPnHcW vergleichen. show version active # Die COP-/Upgrade-Datei aus Ihrem SFTP-Repository bereitstellen und # installieren (zuerst auf dem Publisher, dann auf den Subscribern, in # einem Wartungsfenster, das die Anrufverarbeitung erhaelt). utils system upgrade initiate -
Wenn Sie nicht sofort patchen können, WebDialer als Workaround deaktivieren. Die Schwachstelle greift nur, wenn WebDialer aktiviert ist, sodass das Abschalten die Angriffsfläche entfernt:
# Cisco Unified Serviceability: # Tools > Control Center - Feature Services # -> CTI Services -> "Cisco WebDialer Web Service" -> Stop / Deaktivieren # # Vor dem Deaktivieren in Produktion bestaetigen, dass WebDialer von # keiner Click-to-Call-Integration genutzt wird. -
Prüfen, ob WebDialer derzeit aktiviert ist, um Ihre Exposition zu kennen:
# Extern den WebDialer-Servlet-Pfad pruefen. Eine Nicht-Fehler-Antwort # deutet darauf hin, dass der Dienst erreichbar und wahrscheinlich # aktiviert ist. curl -sk -o /dev/null -w "WebDialer HTTP-Status: %{http_code}\n" \ "https://<cucm-host>:8443/webdialer/Webdialer" -
Den Zugriff auf die Unified-CM-Webschnittstellen einschränken auf vertrauenswürdige Admin-/Management-Netze, während Sie patchen:
# An einer vorgelagerten Firewall eingehenden TCP/8443-Verkehr (sowie # 443/80) zum Unified-CM-Cluster auf bekannte Management-/Benutzer- # Subnetze begrenzen. Keine administrative oder WebDialer-Schnittstelle # von Unified CM sollte aus dem Internet erreichbar sein. # Beispiel (iptables-artige Absicht): # allow src 10.0.0.0/8 dst <cucm> tcp/8443 # deny src any dst <cucm> tcp/8443 nmap -Pn -p 8443,443,80 <cucm-public-ip> # MUSS filtered/closed liefern -
Publisher und alle Subscriber patchen, dann die Anrufverarbeitung und WebDialer (falls wieder aktiviert) validieren, bevor Sie den Change abschließen.
Erkennungsmaßnahmen 🔍
Zum Redaktionsschluss existieren keine von Cisco veröffentlichten IoCs. Suchen Sie nach den Symptomen: anomale unauthentifizierte Anfragen an das WebDialer-Servlet, unerwartete Dateien auf der Appliance und Anzeichen für Aktivität auf root-Ebene.
# Web-/Access-Logs (sofern in Ihr SIEM exportiert) auf unauthentifizierte
# POSTs an das WebDialer-Servlet von unerwarteten Quell-IPs pruefen,
# insbesondere Anfragen mit ungewoehnlichen Parametern oder hohem Volumen.
grep -i "/webdialer/" cucm-access.log \
| grep -iE "POST|doFinishCall|doMakeCall" \
| awk '{print $1, $4, $6, $7}'
# Auf Anfragen an WebDialer von jeder Quelle ausserhalb Ihrer
# sanktionierten Click-to-Call-Integrations-Hosts und Management-Subnetze
# alarmieren.SIEM-/Monitoring-Erkennungsideen:
# Erkennungen aufbauen rund um:
# - Unauthentifizierte HTTP(S)-Anfragen an /webdialer/ von nicht
# allowlisteten Quell-IPs.
# - Spitzen oder Anomalien im WebDialer-Anfragevolumen.
# - Neue/geaenderte Dateien an OS-Stellen auf der Appliance (sofern
# Plattform-Auditing oder Syslog verfuegbar) ausserhalb von
# Hersteller-Upgrade-Fenstern.
# - Unerwartete ausgehende Verbindungen, die VOM Unified-CM-Host
# ausgehen (ein Beacon einer kompromittierten Appliance).Netzwerkseitiges Hunting:
- Auf eingehenden TCP/8443-Verkehr zu Unified CM von Hosts alarmieren, die keine legitimen Benutzer, Click-to-Call-Integrationen oder Management-Stationen sind.
- Auf unerwartete ausgehende Verbindungen achten, die von der Unified-CM-Appliance initiiert werden — ein starkes Post-Exploitation-Signal.
- Hersteller-IDS/IPS-Signaturen für CVE-2026-20230 ausrollen, sobald verfügbar (Snort/Suricata sowie Firewall-Hersteller-Abdeckung).
Langfristige Sicherheitsverbesserungen
- UC-Plattformen als Tier-0 behandeln: Unified CM verdient dasselbe change-kontrollierte-aber-schnelle Critical-Patch-SLA wie Identitäts- und Verzeichnisinfrastruktur.
- Nicht genutzte Features deaktivieren: WebDialer (und andere optionale Dienste) sollten aus sein, sofern kein dokumentierter geschäftlicher Bedarf besteht.
- Sprachinfrastruktur segmentieren: UC-Server in eine streng kontrollierte Zone mit strikter eingehender und ausgehender Filterung stellen; UC-Appliances sollten selten beliebigen ausgehenden Verkehr initiieren.
- UC-Admin-/Benutzerportale niemals ins Internet exponieren: nur über VPN oder Zero-Trust-Zugang vorschalten.
- UC-Webdienste baselinen und überwachen: Erkennungsinhalte für die WebDialer-, CCMAdmin- und Benutzerportale als Kronjuwelen-Endpunkte aufbauen.
- Eine Upgrade-Perspektive pflegen: Cluster auf Releases halten, die noch Sicherheitsfixes erhalten (Release 12.5 und früher sollten migriert werden).
🎯 Warum ist das kritisch?
- Unauthentifizierte SSRF, die root erreicht: Ein Datei-Schreib-Primitiv auf dem Appliance-OS macht aus einem Webdienst-Bug eine vollständige root-Kompromittierung — daher Ciscos Critical Security Impact Rating trotz des Basiswerts 8.6.
- Keine Voraussetzungen außer Erreichbarkeit: keine Zugangsdaten, keine Benutzerinteraktion, geringe Angriffskomplexität.
- Öffentlicher PoC bereits verfügbar: Die Ausnutzungshürde ist niedrig, und Bewaffnung folgt typischerweise schnell.
- Hochwertiges, weit verbreitetes Ziel: Unified CM ist zentrale Unternehmenstelefonie in Unternehmen, Gesundheitswesen, Behörden und Contact-Centern.
- Verbreitete aktivierende Konfiguration: WebDialer ist standardmäßig aus, wird aber für Click-to-Call häufig aktiviert, sodass viele Cluster exponiert sind.
- Schwerwiegende Folgewirkung: Anrufabhören, Toll-Fraud, Diebstahl von Zugangsdaten, laterale Bewegung und Telefonie-Ausfälle — auch für sicherheitskritische Dienste.
- Ein sauberer Patch und ein sauberer Workaround existieren: 14SU6 / COP-Patch beheben die Lücke, und das Deaktivieren von WebDialer entfernt die Angriffsfläche vollständig — es gibt keine Ausrede, sie exponiert zu lassen.
🚀 Zeitleiste und Disclosure
- 03.06.2026 — Cisco veröffentlicht das Security-Advisory
cisco-sa-cucm-ssrf-cXPnHcWfür CVE-2026-20230, bewertet es mit CVSS 8.6 und einem Critical Security Impact Rating und weist darauf hin, dass öffentlicher PoC-Exploit-Code existiert, während keine Hinweise auf eine Ausnutzung in freier Wildbahn gemeldet werden. - Ab 04.06.2026 — Schwachstellen-Hersteller und Fachpresse berichten breit über die Lücke, veröffentlichen Erkennungs-Guidance (z. B. Qualys QID 317856) und betonen die durch den öffentlichen PoC entstehende Dringlichkeit.
- 09.06.2026 — Zum Redaktionsschluss ist eine Ausnutzung in freier Wildbahn noch nicht bestätigt und die CVE ist nicht im CISA-KEV-Katalog gelistet — Verteidiger sollten angesichts des kursierenden PoC jedoch sofort patchen oder WebDialer deaktivieren.
🔗 Ressourcen und Referenzen
- CVE: CVE-2026-20230
- NVD: NVD — CVE-2026-20230
- Cisco-Advisory: Cisco Unified Communications Manager Server-Side Request Forgery Vulnerability (cisco-sa-cucm-ssrf-cXPnHcW)
- CWE: CWE-918: Server-Side Request Forgery (SSRF)
- CISA-KEV-Katalog: Known Exploited Vulnerabilities
💼 SEKurity Unterstützt Sie
Schwachstellen wie CVE-2026-20230 sind eine Erinnerung daran, dass die langweilige-aber-kritische Infrastruktur — die Systeme, die “einfach die Telefone betreiben” — genau dort ist, wo Angreifer gerne landen, weil sie privilegiert, vertrauenswürdig und selten so genau überwacht ist wie die Domäne. Eine unauthentifizierte SSRF, die auf einer Unified-CM-Appliance zu root wird, verschafft einem Angreifer einen stillen, tiefen Brückenkopf im Unternehmen. Wir helfen Organisationen, die exponierten, optionalen Dienste zu finden, die sie vergessen haben zu aktivieren, zu validieren, dass kritische Appliances wirklich gepatcht sind, und zu prüfen, ob eine Kompromittierung der Sprach- oder Perimeterinfrastruktur erkannt würde, bevor sie zu einem netzwerkweiten Vorfall wird. Unsere Perimeter- und IT-Infrastruktur-Tests bilden genau diese vergessenen Türen ab — bevor jemand mit einem öffentlichen PoC sie zuerst findet.
Unsere Dienstleistungen
- Penetration Testing: Webanwendungen, mobile Apps (Android & iOS), SAP-Systeme, Active Directory
- Groß angelegte Angriffe: Perimeter-Tests, IT-Infrastruktur-Tests, Red-Team-Einsätze
- Security Awareness: Phishing-Kampagnen, Hacking-Demonstrationen
Handeln Sie jetzt — bevor es Angreifer tun.
Kontakt:
🌐 Website: www.sekurity.de
📧 Anfragen: www.sekurity.de/kontakt
📱 LinkedIn: SEKurity GmbH
Ihr SEKurity Team — Your Trusted Adversaries
Die Sicherheit Ihrer Kommunikationsinfrastruktur ist unser Antrieb.
Quellen
- CVE-2026-20230 Detail — NVD
- Cisco Unified Communications Manager Server-Side Request Forgery Vulnerability — Cisco Security Advisory
- Cisco warns of critical Unified CM flaw with PoC exploit code — BleepingComputer
- Cisco Patches CVE-2026-20230 in Unified CM as Exploit Code Goes Public — The Hacker News
- Critical Cisco Unified CM Bug Patched as Public Exploit Code Emerges — SecurityAffairs
- Cisco Unified Communications Manager SSRF to Root (CVE-2026-20230) — Threat-Modeling.com
- Cisco Unified Communications Manager SSRF Vulnerability (CVE-2026-20230) — Qualys ThreatPROTECT
- CWE-918: Server-Side Request Forgery — MITRE
- Known Exploited Vulnerabilities Catalog — CISA
Schlagwörter
Über den Autor
SEKurity Team
Offensive Security Experten
Das SEKurity GmbH Team besteht aus erfahrenen Penetrationstestern, Security-Forschern und Cybersecurity-Beratern. Unter dem Motto 'Your Trusted Adversaries' unterstützen wir Organisationen dabei, ihre IT-Sicherheit aus der Perspektive eines Angreifers zu bewerten und zu verbessern.
Verwandte Artikel
InSEKurity of the Week (CW04/2026): Cisco Unified Communications Manager Zero-Day (CVE-2026-20045)
Kritische Zero-Day-Schwachstelle in Cisco Unified Communications Manager und Webex wird aktiv ausgenutzt - Root-Zugriff durch Code Injection möglich
InSEKurity of the Week (CW13/2026): Cisco Catalyst SD-WAN Manager Authentication Bypass (CVE-2026-20129)
Kritische Authentication Bypass-Schwachstelle in Cisco Catalyst SD-WAN Manager wird aktiv ausgenutzt - Unauthentifizierter Zugriff mit Netadmin-Rechten möglich
InSEKurity der Woche (KW15/2026): Cisco IMC Authentication Bypass (CVE-2026-20093)
Kritische Pre-Auth-Schwachstelle im Cisco Integrated Management Controller erlaubt es entfernten Angreifern, beliebige Admin-Passwoerter zurueckzusetzen und die komplette Out-of-Band-Kontrolle ueber UCS-Server zu uebernehmen