Cisco hat am Mittwoch drei Sicherheitsmitteilungen zu teils als kritische eingestuften Schwachstellen veröffentlicht. Sie betreffen Ciscos Unified Communications Manager, Webex Meetings und Finesse. Admins sollten die bereitgestellten Updates zügig anwenden, da im Netz offenbar Proof-of-Concept-Exploit-Code für mindestens eine Lücke aufgetaucht ist.
Am schwersten wiegt eine Schwachstelle des Typs Server-Side Request Forgery (SSRF), bei der Angreifer Zugriff auf interne, geschützte Netzwerke erhalten. Einige HTTP-Anfragen werden laut Ciscos Mitteilung nicht korrekt geprüft, sodass nicht authentifizierte Angreifer aus dem Netz sogar schreibenden Zugriff auf das Betriebssystem und dabei root-Rechte erlangen können (CVE-2026-20230, CVSS 8.6, Risiko „hoch“). Abweichend von der Einstufung nach CVSS sehen Ciscos Entwickler die Sicherheitslücke jedoch sogar als „kritisch“ an. Damit die Lücke ausnutzbar ist, muss der WebDialer-Dienst aktiviert sein – standardmäßig ist er das jedoch nicht. Ciscos Unified CM und Unified CM SME 14SU6 sowie 15SU5 stopfen das Leck, wobei letztere Fassung erst für den September 2026 angekündigt ist. Für diese Lücke ist im Netz Proof-of-Concept-Exploit-Code aufgetaucht, ergänzt Cisco, jedoch sei dem Hersteller noch kein bösartiger Missbrauch der Schwachstelle bekannt.
