Se ha reportado un nuevo aviso de seguridad sobre la disponibilidad de prueba de concepto pública correspondiente a una vulnerabilidad que afecta a Cisco Unified CM. Esto podría permitir a un actor malicioso la escritura de archivos arbitrarios en los sistemas afectados.
Productos afectados
Cisco Unified CM y Cisco Unified CM SME:
- 14, versiones anteriores a 14SU6
- 15, versiones anteriores a 15SU5
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-20230: con una puntuación de 8.6 en CVSS v3.1. Existe una vulnerabilidad de falsificación de solicitudes del lado del servidor en Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME). Este se debe a una validación de entrada incorrecta al procesar solicitudes HTTP específicas. Un actor malicioso remoto no autenticado podría enviar una petición manipulada para forzar la escritura de archivos en el sistema operativo subyacente, lo que posteriormente permitiría una escalada de privilegios a root.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias