Cisco actualizó su aviso de seguridad para confirmar que la vulnerabilidad CVE-2026-20230, que afecta a Cisco Unified Communications Manager (Unified CM) y Unified Communications Manager Session Management Edition (Unified CM SME), está siendo explotada activamente. La falla, identificada con una puntuación CVSS de 8,6, fue corregida por la compañía el pasado 3 de junio, cuando también advirtió de la existencia de código de prueba (proof-of-concept), aunque en ese momento no tenía evidencia de ataques en curso.

La vulnerabilidad corresponde a una validación incorrecta de determinadas solicitudes HTTP que puede ser aprovechada por un atacante remoto no autenticado para realizar ataques de Server-Side Request Forgery (SSRF). De acuerdo con Cisco, una explotación exitosa permite escribir archivos arbitrarios en el sistema operativo subyacente, los que posteriormente pueden utilizarse para obtener privilegios de root.

En la actualización del aviso, la compañía indicó que «el equipo Cisco PSIRT tuvo conocimiento en junio de 2026 de la explotación activa de esta vulnerabilidad». Además, reiteró que «Cisco continúa recomendando enfáticamente que los clientes actualicen a una versión de software corregida para remediar esta vulnerabilidad».

Antes de la confirmación oficial, la firma Defused informó haber observado intentos de explotación utilizando cargas file:// correctamente construidas para crear archivos en dispositivos vulnerables. Posteriormente, SSD Secure Disclosure publicó un análisis técnico y un código de prueba que explica el funcionamiento de la vulnerabilidad. Según esa investigación, un atacante puede aprovechar el componente WebDialer para forzar la escritura arbitraria de archivos en el sistema y, posteriormente, alcanzar la ejecución remota de código con privilegios elevados.

Cisco precisó que solo los sistemas que tienen habilitado el servicio WebDialer son vulnerables, ya que esta funcionalidad se encuentra deshabilitada de forma predeterminada. Como medida temporal para quienes no puedan instalar inmediatamente las versiones corregidas 14SU6 o 15SU5, la compañía recomendó desactivar dicho servicio hasta completar la actualización.

Los investigadores de SSD Secure señalaron que la vulnerabilidad permite que «un atacante no autenticado escriba archivos arbitrarios en el servidor», aprovechando el manejo de direcciones URL suministradas por el usuario dentro del componente WebDialer.

Mientras tanto, la organización Shadowserver mantiene el monitoreo de más de 200 instancias de Cisco Unified CM expuestas a Internet. Según sus estadísticas públicas, la mayoría de estos sistemas se concentra en Asia y Norteamérica. La plataforma no detalla cuántos de esos dispositivos ya fueron actualizados o protegidos frente a la explotación de la vulnerabilidad.