Cisco heeft een bug in Unified Communications Manager gepatcht waardoor een niet-geverifieerde aanvaller op het netwerk bestanden naar de box kan schrijven en van daaruit naar de root kan klimmen.
Het wordt bijgehouden als CVE-2026-20230 en de proof-of-concept-exploitcode is al openbaar. Cisco’s PSIRT zegt dat het de fout die bij aanvallen wordt gebruikt nog niet heeft gezien. De PoC verkort die landingsbaan.
De fout is een vervalsing van verzoeken aan de serverzijde. Unified CM en zijn Session Management Edition slagen er niet in bepaalde HTTP-verzoeken correct te valideren, dus een vervaardigd verzoek kan de server ertoe aanzetten willekeurige bestanden naar het onderliggende besturingssysteem te schrijven. Die dossiers vormen het houvast. Cisco zegt dat ze later kunnen worden gebruikt om te escaleren naar root, het hoogste privilege op het systeem.
Die twee stappen zijn de reden waarom de score en de beoordeling het niet eens zijn. De CVSS-basis is 8,6: het scoort het schrijven van bestanden (een impact die alleen op de integriteit van toepassing is, geen verlies van vertrouwelijkheid of beschikbaarheid), maar niet de root-escalatie die volgt. Cisco beoordeelde het advies toch als Kritiek, omdat de eindstatus volledige root is.
Er is één verzachtende factor: de fout werkt alleen als de WebDialer-service actief is, en WebDialer wordt standaard geleverd. Dat helpt geen enkele implementatie die het heeft ingeschakeld.
Om dit te controleren, opent u Cisco Unified CM Administration en schakelt u over naar Cisco Unified Serviceability. Bekijk onder Extra > Controlecentrum – Feature Services de status van de Cisco WebDialer-webservice in de sectie CTI Services. Gestart betekent dat je blootgesteld bent.
Patchen is de enige echte oplossing. Voor trein 14 is dat 14SU6. Voor 15 is de volledige service-update (15SU5) pas in september 2026 beschikbaar, dus tot die tijd bevindt u zich in de tussentijdse COP-patch, of schakelt u WebDialer uit (verwijder het vinkje onder Extra > Serviceactivering en sla op). Een onafhankelijke onderzoeker die met SSD Secure Disclosure werkt, meldde de bug.
Unified CM is een constante bron van niet-geauthenticeerde problemen op rootniveau. Afgelopen juli haalde Cisco een hardgecodeerd root-SSH-account uit de ontwikkeling (CVE-2025-20309, CVSS 10).
In januari heeft het een niet-geverifieerde RCE gepatcht voor verschillende van zijn spraakproducten (CVE-2026-20045) die al in het wild werden uitgebuit, voldoende voor CISA om het toe te voegen aan de lijst met bekende exploitanten.
Deze past in het patroon: een verzoek dat nooit iets gevoeligs had mogen bereiken. Nu er een PoC-publiek is en de oplossing voor vijftien treinen al maanden achter de rug is, kun je ervan uitgaan dat iemand het schrijven van bestanden omzet in een werkende aanval voordat de patches overal zijn.
