Cisco ha corregido un error en Unified Communications Manager que permite a un atacante no autenticado en la red escribir archivos en el cuadro y, desde allí, subir a la raíz.
Se rastrea como CVE-2026-20230 y el código de explotación de prueba de concepto ya es público. PSIRT de Cisco dice que aún no ha visto la falla utilizada en los ataques. El PoC acorta esa pista.
La falla es una falsificación de solicitudes del lado del servidor. Unified CM y su Session Management Edition no validan ciertas solicitudes HTTP correctamente, por lo que una solicitud diseñada puede obligar al servidor a escribir archivos arbitrarios en el sistema operativo subyacente. Esos archivos son el punto de apoyo. Cisco dice que se pueden usar más adelante para escalar a root, el privilegio principal del sistema.
Esos dos pasos son la razón por la que la puntuación y la calificación no están de acuerdo. La base CVSS es 8.6: puntúa la escritura del archivo (un impacto solo en la integridad, sin pérdida de confidencialidad o disponibilidad) pero no la escalada raíz que sigue. Cisco calificó el aviso como Crítico de todos modos, ya que el estado final es raíz completa.
Hay un factor atenuante: la falla sólo funciona cuando el servicio WebDialer se está ejecutando y WebDialer se envía de forma predeterminada. Eso no ayuda a ninguna implementación que lo haya activado.
Para comprobarlo, abra Cisco Unified CM Administration y cambie a Cisco Unified Serviceability. En Herramientas > Centro de control – Servicios de funciones, observe el estado del servicio web Cisco WebDialer en la sección Servicios CTI. Comenzado significa que estás expuesto.
Parchar es la única solución real. Para el tren 14, eso es 14SU6. Para 15, la actualización de servicio completa (15SU5) no vence hasta septiembre de 2026, por lo que hasta entonces, estará en el parche COP provisional o desactivará WebDialer (desmárquelo en Herramientas > Activación de servicio y guarde). Un investigador independiente que trabaja con SSD Secure Disclosure informó del error.
Unified CM ha sido una fuente constante de problemas no autenticados a nivel de raíz. En julio pasado, Cisco retiró una cuenta SSH raíz codificada que quedó en desarrollo (CVE-2025-20309, CVSS 10).
En enero, parchó un RCE no autenticado en varios de sus productos de voz (CVE-2026-20045) que ya estaba siendo explotado en la naturaleza, suficiente para que CISA lo agregara a su lista de explotados conocidos.
Éste encaja en el patrón: una petición que nunca debería haber llegado a nada sensible, llegar hasta allí. Con una PoC pública y la solución de 15 trenes dentro de unos meses, supongamos que alguien convierte esa escritura de archivos en un ataque funcional antes de que los parches estén en todas partes.