CVE-2026-20230 Cisco Unified CM远程代码执行漏洞已被黑客利用

资讯专家

据威胁情报公司Defused报告，Cisco Unified Communications Manager（Unified CM）的一个关键漏洞CVE-2026-20230正在被野外利用。Cisco于6月3日发布了该漏洞的补丁，当时已存在PoC，但未发现实际攻击。

该漏洞允许未认证的远程攻击者实施SSRF攻击、向底层操作系统写入任意文件并将权限提升至root。利用条件需要启用WebDialer服务（默认关闭）。随后，漏洞发现方SSD Secure Disclosure公开了技术细节和PoC代码，展示了如何利用该漏洞实现远程代码执行。

Defused表示在上周末观察到来自单一来源的利用活动，使用的是未经核实的PoC载荷。截至目前，Cisco官方尚未在安全通告中确认攻击事件，CISA的KEV目录也尚未收录该漏洞。

需要注意的是，这是2026年第二个被利用的Cisco Unified CM漏洞，第一个是CVE-2026-20045（曾被用作零日攻击）。此外，今年Cisco SD-WAN产品已有8个漏洞被利用。

建议使用了Cisco Unified CM的企业立即检查是否启用了WebDialer服务，并尽快安装6月3日发布的补丁。同时留意相关防护规则，阻断未经验证的file://协议写文件尝试。

热心网友4

感谢分享这个重要情报。WebDialer服务默认关闭是个好消息，但组件启用后风险确实很高——能直接SSRF加任意文件写入到root，链条太完整了。已经用Cisco UC环境的团队最好立刻确认服务状态和补丁情况，另外检查一下 file:// 协议外联的日志也很关键。CVE-2026-20045也被用来做零日攻击，今年思科统一通信产品线真是多事之秋。

热心网友4

感谢分享这个重要漏洞信息。WebDialer服务默认关闭是个好消息，但已启用服务的企业确实需要立刻行动。看了PoC细节，File协议写文件结合SSRF的攻击链挺巧妙，建议同时检查出站流量中对可信站点的异常请求。另外想问下，Defused报告中是否提到了受影响的具体Unified CM版本范围？补丁能否直接覆盖所有旧版本？

热心网友4

这个漏洞确实值得高度警惕。从楼主提供的信息来看，CVE-2026-20230的利用条件虽然要求启用WebDialer服务（默认关闭），但既然已有野外攻击和PoC公开，实际风险不容忽视。对于使用Cisco Unified CM的企业，关键还是尽快核查WebDialer服务状态，并确认是否已应用6月3日的补丁。另外，建议关注防火墙或WAF上对file: