Cisco corrige CVE com exploit público
A Cisco corrigiu uma vulnerabilidade crítica no Unified Communications Manager que permite a invasores não autenticados executar ataques SSRF (Server-Side Request Forgery) e escalar privilégios até root. A falha, identificada como CVE-2026-20230 com CVSS 8,6, foi divulgada em 3 de junho de 2026 com código de prova de conceito já disponível publicamente. O defeito afeta o Unified CM e o Unified CM SME, produtos amplamente usados em infraestruturas corporativas de telefonia VoIP em todo o mundo.
Falha permite escalação até root
A vulnerabilidade resulta de validação inadequada de entradas em requisições HTTP específicas. Um invasor remoto sem autenticação pode enviar uma requisição HTTP especialmente elaborada que força o servidor a realizar solicitações para recursos internos ou externos — o clássico cenário SSRF. O que torna essa falha particularmente grave é que a Cisco atribuiu classificação de impacto “Crítica” porque a exploração bem-sucedida permite ao atacante gravar arquivos arbitrários no sistema operacional subjacente, podendo resultar em acesso root completo ao dispositivo.
WebDialer é pré-requisito do ataque
Existe um detalhe importante: a exploração exige que o serviço WebDialer esteja habilitado no sistema alvo. Como o WebDialer vem desabilitado por padrão, instalações com configurações padrão não são imediatamente vulneráveis. No entanto, muitas organizações ativam esse serviço para integração com aplicativos de terceiros e funcionalidades de discagem web. A cadeia de ataque funciona assim: o invasor elabora uma requisição HTTP maliciosa que bypassa a validação de entrada, dispara o SSRF forçando o dispositivo a fazer requisições para serviços internos, e então grava arquivos de configuração ou scripts que o sistema executa com privilégios elevados, culminando em acesso root.
| Produto afetado | Versões vulneráveis | Correção disponível |
|---|---|---|
| Cisco Unified CM | Versões anteriores ao patch de junho/2026 | Sim — atualizar para versão com fix |
| Cisco Unified CM SME | Release 15 anterior ao 15SU5 | Sim — instalar COP file ou atualizar |
Equipe deve aplicar patch imediatamente
A existência de código de prova de conceito público aumenta significativamente o risco de exploração em massa. Esse episódio se soma a outras vulnerabilidades críticas recentes da Cisco, como o CVE-2026-20131 no Cisco FMC explorado pelo ransomware Interlock e o PoC de exploit lançado para falha crítica da Cisco em incidents anteriores. Equipes de segurança devem identificar todas as instâncias de Unified CM e CM SME na rede, verificar se o WebDialer está ativo (e desabilitá-lo se não for necessário), aplicar os patches disponibilizados pela Cisco imediatamente e monitorar tráfego HTTP anômalo direcionado a esses dispositivos. O advisory oficial está disponível no portal de segurança da Cisco.