事件经过
CVE-2026-20230是Cisco Unified Communications Manager(Unified CM)和Unified CM Session Management Edition(Unified CM SME)中的服务器端请求伪造(SSRF)漏洞。未认证的远程攻击者可以发送精心设计的HTTP请求,通过受影响的设备执行SSRF攻击、向底层OS写入任意文件,并可能提升特权到root。Cisco于2026年6月3日修补了该缺陷;SSD Secure Disclosure发布了PoC,显示该SSRF可被利用以实现未认证RCE。漏洞利用情报公司Defused在6月24日之前的周末观察到了使用file://文件写入有效负载的主动利用。CISA于2026年6月25日将该CVE添加到KEV目录中,联邦机构的截止日期为6月28日。
影响分析
Cisco Unified CM是广泛部署的企业电话和协作基础设施;它也越来越多地与AI驱动的通信分析和联系中心AI平台集成。确认的主动利用与具有RCE能力的公共PoC以及三天的联邦修补期限使其极其紧迫。AI驱动的联系中心和统一通信部署位于Unified CM后面,直接暴露。
攻击途径
未认证的远程攻击者发送精心设计的HTTP请求;SSRF允许文件写入OS,可链接以实现根级RCE
受影响系统
Cisco Unified Communications Manager(Unified CM)和Unified CM Session Management Edition(Unified CM SME)14SU6/15SU5版本之前
缓解措施
立即应用Cisco补丁到Unified CM 14SU6/15SU5。Cisco公告:https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-cucm-ssrf-cXPnHcW.html。CISA KEV:https://www.cisa.gov/known-exploited-vulnerabilities-catalog