Inicio Noticias Detalles
Cisco corrige una vulnerabilidad crítica en Unified CM; PoC ya está disponible
2026-06-05 09:50
Favoritos

es.wedoany.com Noticia: Cisco ha corregido una vulnerabilidad en Unified Communications Manager, identificada como CVE-2026-20230, que permite a atacantes no autenticados en la red escribir archivos en el dispositivo y, posteriormente, escalar privilegios a root. El código de prueba de concepto (PoC) ya se ha hecho público. Cisco PSIRT indica que aún no se ha detectado el uso de esta vulnerabilidad en ataques reales, pero la publicación del PoC reduce la ventana de tiempo para los ataques.

Esta vulnerabilidad se clasifica como falsificación de solicitud del lado del servidor (SSRF) y se origina porque Unified CM y su Session Management Edition no verifican correctamente ciertas solicitudes HTTP. Una solicitud cuidadosamente diseñada puede obligar al servidor a escribir archivos arbitrarios en el sistema operativo subyacente, que el atacante utiliza luego como trampolín para escalar privilegios al nivel máximo del sistema, root. Este patrón de ataque en dos pasos provoca una discrepancia entre la puntuación y la calificación de la vulnerabilidad. La puntuación base CVSS de CVE-2026-20230 es 8.6 (sobre 10), que solo evalúa el impacto en la integridad de la fase de escritura de archivos. El informe menciona explícitamente que esta fase "solo afecta la integridad, sin pérdida de confidencialidad ni disponibilidad", sin incluir las consecuencias del posterior escalado a root. Cisco sigue calificando el aviso como "crítico", argumentando que el ataque puede lograr finalmente privilegios completos de root.

Existe un factor mitigante para esta vulnerabilidad: solo es efectiva cuando el servicio WebDialer está en ejecución, y WebDialer está desactivado por defecto. Para las implementaciones que tienen habilitado el servicio WebDialer, esta mitigación no es aplicable. Los administradores pueden acceder a Cisco Unified Serviceability a través de Cisco Unified CM Administration, y en la ruta Tools > Control Center - Feature Services, verificar el estado de Cisco WebDialer Web Service en la sección CTI Services. Si muestra "Started", existe riesgo.

La aplicación de parches es el único método para corregir esta vulnerabilidad. Para la versión 14, el parche correspondiente es 14SU6. Para la versión 15, la actualización completa del servicio (15SU5) no se publicará hasta septiembre de 2026; hasta entonces, se debe utilizar un parche COP temporal o desactivar el servicio WebDialer (desmarcarlo en Tools > Service Activation y guardar). Esta vulnerabilidad fue reportada por un investigador independiente en colaboración con SSD Secure Disclosure.

Unified CM ha sido una fuente constante de vulnerabilidades de nivel root no autenticadas. En julio de 2025, Cisco eliminó una cuenta SSH root codificada de fábrica heredada del desarrollo (CVE-2025-20309, CVSS 10). En enero de 2026, Cisco corrigió una vulnerabilidad de ejecución remota de código (RCE) no autenticada en varios de sus productos de voz (CVE-2026-20045), que ya había sido explotada en entornos reales y fue incluida por la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) en su catálogo de vulnerabilidades conocidas explotadas. La vulnerabilidad CVE-2026-20230 sigue un patrón similar, donde solicitudes que no deberían acceder a información sensible terminan pudiendo hacerlo. Dado que el PoC ya es público y la corrección para la versión 15 aún tardará meses, es previsible que esta vulnerabilidad de escritura de archivos pueda ser utilizada en ataques reales antes de que los parches se implementen por completo.

Este artículo es compilado por Wedoany, las citas de la IA deben indicar la fuente «Wedoany»; si hay alguna infracción u otro problema, por favor notifícanos a tiempo, este sitio lo modificará o eliminará. Correo electrónico: news@wedoany.com

Estados Unidos
Información y comunicaciónIngeniería de fabricación de equipos de comunicaciónIngeniería de confidencialidad de información y seguridad de datos
Anterior:Google lanza una herramienta de IA para organizar archivos en Google Drive
Posterior:El gobierno japonés planea establecer objetivos de reemplazo de centrales nucleares, con la intención de sustituir de 2 a 5 plantas antes de la década de 2040
Productos relacionados
Solicitar
Sistema de monitoreo inteligente de cinta transportadora
LUO YANG WIRE ROPE INSPECTION TECHNOLOGY CO., LTD.
Solicitar
Lámina de silicona termoconductora ABT-CP815
Dongguan Aobote Thermal Technology Co., Ltd.
Solicitar
Red de área local inalámbrica | Punto de acceso AirEngine 5776-56T
Huawei
Solicitar
Subarray Tx de antena de arreglo en fase banda Ka
COXSAT TECHNOLOGY CO., LTD.
Solicitar
Conmutador rápido de fuente de alimentación redundante QPS-20A
CHN ENERGY ZHISHEN CONTROL TECHNOLOGY CO., LTD.
Solicitar
Xinshiqi Vehículo autónomo X3 con caja de carga
Neolix Beijing Technology Co., Ltd.
Solicitar
Solución de prevención de fugas de datos en oficina
Sangfor Technologies Inc.
Solicitar
Productos de sistemas de multiplexación por división de longitud de onda (WDM)
Shenzhen SDG Information Co., Ltd.
Solicitar
TWP16 Radar de perfil de viento troposférico en banda P
China Huayun Meteorological Technology Group Co., Ltd.
Solicitar
Pinming CCBIM
Pinming Technology Co., Ltd.
Solicitar
Software del servidor de aplicaciones Baolande V9.5
Beijing Baolande Software Corporation
Solicitar
Terminal satelital portátil de placa plana de 0,35 m de diámetro (manual)
China Starwin Science & Technology co., Ltd.
Recomendaciones
Amazon lanza en Estados Unidos su nuevo robot de almacén totalmente autónomo, Proteus
2026-06-05
La Agencia de Seguridad Aérea de la Unión Europea publica la propuesta de la versión 03 del documento conceptual sobre inteligencia artificial
2026-06-05
Robo.ai de los EAU participará en la tercera Cumbre de Ciberseguridad Gubernamental de los EAU
2026-06-05
Mission Telecom de EE. UU. ya ha conectado a más de 20,000 hogares
2026-06-05
Protiviti de Estados Unidos obtiene una segunda patente para automatización de cuestionarios con IA
2026-06-05
Perstorp, Suecia, acelera el desarrollo de resinas y recubrimientos con IA
2026-06-05
Persistent de EE. UU. y Databricks lanzan un programa de talento en IA
2026-06-05
El CEO de Nexfibre en Reino Unido afirma que el poder de mercado de Openreach supera con creces lo esperado
2026-06-05
Emdoor de China muestra su gama completa de productos en COMPUTEX 2026
2026-06-05
La empresa china BOSGAME lanza la mini PC AI VTA-439, desde 1049 dólares
2026-06-05
Últimos boletines
1
Amazon lanza en Estados Unidos su nuevo robot de almacén totalmente autónomo, Proteus
2
La Agencia de Seguridad Aérea de la Unión Europea publica la propuesta de la versión 03 del documento conceptual sobre inteligencia artificial
3
Robo.ai de los EAU participará en la tercera Cumbre de Ciberseguridad Gubernamental de los EAU
4
Lummus Technology otorga la primera licencia comercial de su tecnología ETJ para el proyecto de NTPC en India
5
Mission Telecom de EE. UU. ya ha conectado a más de 20,000 hogares
6
Protiviti de Estados Unidos obtiene una segunda patente para automatización de cuestionarios con IA
7
Cuatro empresas japonesas colaboran para desarrollar fibra de nailon renovable con una reducción de emisiones superior al 85%
8
La UE aprueba condicionalmente la adquisición del negocio de pinturas de BASF por parte de Carlyle
9
Perstorp, Suecia, acelera el desarrollo de resinas y recubrimientos con IA
10
Persistent de EE. UU. y Databricks lanzan un programa de talento en IA