Uma vulnerabilidade crítica no Cisco Unified Communications Manager (Unified CM), que permite ataques de SSRF e escalonamento de privilégios para root, está sendo explorada ativamente por hackers, de acordo com a empresa de inteligência em explorações Defused. A falha, registrada como CVE-2026-20230, recebeu correções da Cisco em 3 de junho, mas um código de prova de conceito (PoC) já estava disponível na ocasião, e a Defused observou evidências de exploração no último final de semana .
Segundo a Defused, a atividade de exploração “atualmente está sendo explorada a partir de uma única fonte usando um PoC não verificado, com cargas úteis de gravação de arquivos formatadas genuinamente chegando aos nossos sistemas de isca” . A empresa também relatou recentemente ter visto a exploração de três vulnerabilidades em produtos da Fortinet. A exploração requer que o serviço WebDialer esteja ativado, mas ele está desabilitado por padrão .
A Cisco, no entanto, ainda não confirmou a exploração em seu aviso oficial. Em resposta a perguntas do SecurityWeek, um porta-voz da empresa declarou: “Em 3 de junho, a Cisco publicou um aviso de segurança divulgando uma vulnerabilidade no Cisco Unified Communications Manager e no Cisco Unified Communications Manager Session Management Edition. Em 24 de junho de 2026, o PSIRT da Cisco não tem conhecimento de qualquer uso malicioso da vulnerabilidade. Recomendamos fortemente que os clientes atualizem para as versões de software corrigidas disponíveis que resolvem essa vulnerabilidade” .
Detalhes Técnicos e Impacto do CVE-2026-20230
A vulnerabilidade CVE-2026-20230 pode ser explorada por um atacante remoto não autenticado para conduzir ataques de SSRF (Server-Side Request Forgery), gravar arquivos arbitrários no sistema operacional subjacente e escalonar privilégios para o nível root . Pouco após o anúncio da Defused, a SSD Secure Disclosure, que a Cisco creditou pelo relato da vulnerabilidade, publicou detalhes técnicos e o código PoC demonstrando como a falha pode ser usada por um atacante não autenticado para execução remota de código .
O Unified CM é a principal plataforma de controle de chamadas e gerenciamento de sessões on-premises da Cisco, servindo como infraestrutura central para comunicações unificadas de voz e vídeo em grandes empresas . Devido à base de clientes de alto valor, a CVE-2026-20230 pode ser altamente valiosa tanto para cibercriminosos motivados financeiramente quanto para atores patrocinados por Estados . Esta é a segunda vulnerabilidade do Cisco Unified CM explorada em 2026; a primeira foi a CVE-2026-20045, que foi alvo de ataques como zero-day . A CVE-2026-20230 ainda não foi adicionada ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA, e não há outros relatos públicos de exploração até o momento .
