Ciscoは、Cisco Unified Communications Manager(Unified CM)およびUnified CM Session Management Edition(Unified CM SME)において、CVSSベーススコア8.6のCritical評価を受けたサーバサイドリクエストフォージェリ(SSRF)脆弱性を公開しました。この脆弱性はCVE-2026-20230として追跡されています。
この脆弱性は2026年6月3日にアドバイザリcisco-sa-cucm-ssrf-cXPnHcWとして公開されましたが、概念実証(PoC)エクスプロイトコードがすでに公開されているため、特に深刻な懸念を引き起こしています。
この脆弱性は、WebDialerサービスコンポーネント内における特定のHTTPリクエストに対する不適切な入力検証(CWE-918)に起因しています。
認証されていないリモートの攻撃者は、特別に細工されたHTTPリクエストを対象デバイスに送信するだけでこの脆弱性を悪用できます。攻撃チェーンを開始するために、資格情報やユーザーの操作は一切不要です。
悪用に成功すると、攻撃者は基盤となるオペレーティングシステムに任意のファイルを書き込むことができ、さらにそれを利用してroot権限への特権昇格が可能になります。
CiscoのProduct Security Incident Response Team(PSIRT)は、特権昇格の可能性を考慮し、CVSSスコアが示すHighの分類を上回るCriticalとしてこのアドバイザリを評価しています。
攻撃が成立するには、WebDialerサービスが有効化されている必要があります。WebDialerはデフォルトで無効化されているため、意図的に有効化していない組織は直ちにリスクにさらされるわけではありません。
ただし、CiscoのCTI(Computer Telephony Integration)サービスを利用する企業では、クリック・トゥ・コール機能のためにWebDialerを有効化していることが多く、実際の影響範囲は大幅に広がります。
WebDialerが有効な状態で動作しているCisco Unified CMおよびUnified CM SMEのすべての展開環境が影響を受けます。Ciscoは以下の修正済みリリースを提供しています。
直ちにパッチを適用できない管理者は、Cisco Unified Serviceability → Tools → Service Activationにアクセスし、Cisco WebDialer Web Serviceのチェックを外すことで、WebDialerサービスを一時的な緩和策として無効化してください。
Cisco PSIRTは、PoCエクスプロイトコードが公開されていることを確認しており、パッチ適用の緊急性が大幅に高まっています。
公開時点では悪意ある積極的な悪用は確認されていませんが、公開PoCが存在する場合、脅威アクターによる採用が加速するのが通例です。
この脆弱性は、SSD Secure Disclosureと連携する独立したセキュリティ研究者によって責任を持って報告されました。
有効なPoCコードが公開されており、root権限への特権昇格の可能性があることを踏まえ、セキュリティチームはすべてのUnified CM環境においてCVE-2026-20230を優先的なパッチ適用対象として取り扱うべきです。
翻訳元: https://cyberpress.org/cisco-unified-communications-manager-flaw/
