A Cisco corrigiu uma vulnerabilidade crítica no Cisco Unified Communications Manager e no Unified Communications Manager Session Management Edition que pode permitir ataques de server-side request forgery contra sistemas afetados.
A falha, rastreada como CVE-2026-20230, foi divulgada em 3 de junho de 2026 e recebeu pontuação CVSS 8,6. A Cisco classificou o caso como crítico porque a exploração pode abrir caminho para elevação de privilégios até root.
O problema está na validação inadequada de requisições HTTP específicas. Um invasor remoto e não autenticado pode enviar uma solicitação especialmente criada para fazer o dispositivo processar ações indevidas em nome do servidor.
Segundo a Cisco, uma exploração bem-sucedida pode permitir a gravação de arquivos no sistema operacional subjacente. Esses arquivos poderiam ser usados posteriormente para elevar privilégios e obter controle mais amplo sobre a plataforma.
A vulnerabilidade afeta ambientes em que o serviço WebDialer está habilitado. Esse detalhe reduz a exposição padrão, já que o WebDialer vem desativado por padrão, mas organizações que utilizam o recurso devem tratar a atualização como prioridade.
As versões corrigidas incluem o Cisco Unified CM e Unified CM SME 14SU6. Para a linha 15, a correção está prevista no 15SU5, com disponibilidade indicada para setembro de 2026, ou por meio de patch COP específico.
