Auf den Punkt: Die Cisco-Lücke CVE-2026-20230 (CVSS 8.6) wird wenige Wochen nach Patchfreigabe im Juni live ausgenutzt und ermöglicht Rootzugriff durch SSRF und Dateioperationen.
Eine kritische Schwachstelle in Cisco Unified CM wird bereits aktiv ausgenutzt, obwohl der Hersteller erst Anfang Juni Patches bereitgestellt hatte. Das Threat-Intelligence-Unternehmen Defused berichtete am 23. Juni 2024 von den ersten beobachteten Exploitierungsversuchen.
Die Schwachstelle trägt die Bezeichnung CVE-2026-20230 und wurde mit einem CVSS-Basis-Score von 8.6 bewertet. Cisco veröffentlichte den Advisory und Patches am 3. Juni und gab an, damals keine Hinweise auf böswillige Nutzung zu haben. Defused dokumentierte die Exploitierungsaktivität zum ersten Mal am Wochenende des 22./23. Juni und beschrieb die Angriffe als „genuinely-formatted file:// file-write payloads von einer einzelnen Quelle unter Verwendung eines unverifizieren PoC”.
Das Grundproblem liegt in einer unzureichenden Eingabevalidierung für bestimmte HTTP-Requests. Ein nicht authentifizierter, entfernter Angreifer kann durch Server-Side-Request-Forgery (SSRF) eine betroffene Installation angreifen. Nach einer erfolgreichen Exploitation lassen sich Dateien auf dem Betriebssystem schreiben und Privilegien bis zur Root-Ebene eskalieren. Der Sicherheitsforscher-Bericht von SSD Secure Disclosure offenbart, dass mehrere Schwachstellen kombiniert werden: Das SSRF-Element ermöglicht die Schreiboperationen, mit denen dann Code auf dem System ausgeführt werden kann.
Cisco Unified CM und Unified CM SME sind weit verbreitete Enterprise-Systeme für Voice-, Video-, Messaging-, Mobility- und Conferencing-Services. Die Lücke lässt sich remote ausnutzen, wenn die WebDialer-Komponente aktiviert ist — diese ist jedoch standardmäßig deaktiviert. Defused bestätigte: Dies ist die erste aufgezeichnete Ausbeutung der Lücke, die noch nicht in das CISA Known Exploited Vulnerabilities (KEV)-Register aufgenommen wurde.
Cisco gibt an, dass es keinen Workaround für die Schwachstelle gibt. Als Übergangslösung wird Administratoren empfohlen, den WebDialer-Service zu deaktivieren. Die Patches für den 14er-Release-Train sind in Version 14SU6 verfügbar, für den 15er-Train soll der Fix 15SU5 im September 2026 oder über einen Interim-COP-Patch bereitgestellt werden. Weder Cisco noch Defused haben den Angreifer identifiziert oder Indikatoren für erfolgreiche Kompromittierungen veröffentlicht.
Quelle: www.csoonline.com · Erschienen 24. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.