De acordo com pt.wedoany.com-A Cisco corrigiu uma vulnerabilidade no Unified Communications Manager, identificada como CVE-2026-20230, que permite que um atacante não autenticado na rede grave arquivos no dispositivo e, em seguida, eleve seus privilégios para root. O código de prova de conceito (PoC) já foi divulgado publicamente. O Cisco PSIRT afirma que ainda não foram encontradas evidências de exploração ativa desta vulnerabilidade, mas a publicação do PoC reduziu a janela de tempo para ataques.

A vulnerabilidade é classificada como Server-Side Request Forgery (SSRF), originada pelo fato de o Unified CM e sua Session Management Edition não validarem corretamente certas requisições HTTP. Requisições cuidadosamente elaboradas podem forçar o servidor a gravar arquivos arbitrários no sistema operacional subjacente, que o atacante pode então usar como trampolim para elevar seus privilégios ao nível máximo do sistema, root. Esse padrão de ataque em duas etapas leva a uma inconsistência entre a pontuação e a classificação da vulnerabilidade. A pontuação base CVSS do CVE-2026-20230 é 8,6 (em uma escala de 10), que avalia apenas o impacto na integridade da etapa de gravação de arquivos. O relatório menciona explicitamente que esta etapa "afeta apenas a integridade, sem perda de confidencialidade ou disponibilidade", não incluindo a consequência da elevação de privilégios para root. A Cisco ainda classifica o aviso como "Crítico", com base no fato de que o ataque pode, em última análise, alcançar privilégios totais de root.

Existe um fator de mitigação para esta vulnerabilidade: ela só é efetiva quando o serviço WebDialer está em execução, que está desativado na configuração padrão. Para implantações com o serviço WebDialer ativado, esta mitigação não se aplica. Os administradores podem verificar o status do Cisco WebDialer Web Service na seção CTI Services, acessando Cisco Unified Serviceability através do Cisco Unified CM Administration, no caminho Tools > Control Center - Feature Services. Se o status exibir "Started", significa que há risco.

A aplicação de patches é a única maneira de corrigir esta vulnerabilidade. Para a versão 14, o patch correspondente é o 14SU6. Para a versão 15, a atualização completa de serviço (15SU5) só será lançada em setembro de 2026. Até lá, é necessário usar um patch COP temporário ou desativar o serviço WebDialer (desmarcando a opção em Tools > Service Activation e salvando). A vulnerabilidade foi relatada por um pesquisador independente em colaboração com o SSD Secure Disclosure.

O Unified CM tem sido uma fonte consistente de vulnerabilidades de nível root não autenticadas. Em julho de 2025, a Cisco removeu uma conta SSH root codificada deixada durante o desenvolvimento (CVE-2025-20309, CVSS 10). Em janeiro de 2026, a Cisco corrigiu uma vulnerabilidade de RCE não autenticada (CVE-2026-20045) em vários de seus produtos de voz, que já estava sendo explorada ativamente e foi incluída no catálogo de vulnerabilidades conhecidas e exploradas pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). A vulnerabilidade CVE-2026-20230 segue um padrão semelhante, onde requisições que não deveriam acessar informações sensíveis acabam conseguindo fazê-lo. Como o PoC já é público e a correção para a versão 15 levará meses, é previsível que esta vulnerabilidade de gravação de arquivos possa ser usada em ataques reais antes que os patches sejam totalmente implantados.

Este texto foi elaborado por Wedoany. Qualquer citação por IA deve indicar a fonte “Wedoany”. Em caso de infração ou outros problemas, informe-nos prontamente, por favor. O conteúdo será corrigido ou removido. E-mail: news@wedoany.com