Startseite Nachrichten Details
Cisco behebt schwerwiegende Sicherheitslücke in Unified CM – PoC veröffentlicht
2026-06-05 09:50
Merken

de.wedoany.com-Bericht: Cisco hat eine Sicherheitslücke in Unified Communications Manager behoben, die unter der Kennung CVE-2026-20230 geführt wird. Sie ermöglicht es nicht authentifizierten Angreifern im Netzwerk, Dateien auf das Gerät zu schreiben und anschließend ihre Berechtigungen auf Root-Ebene auszuweiten. Ein Proof-of-Concept (PoC)-Exploit-Code wurde veröffentlicht. Cisco PSIRT gibt an, dass die Sicherheitslücke bisher nicht in tatsächlichen Angriffen ausgenutzt wurde, die Veröffentlichung des PoC verkürzt jedoch das Zeitfenster für Angriffe.

Die Sicherheitslücke wird als Server-Side Request Forgery (SSRF) eingestuft und resultiert daraus, dass Unified CM und seine Session Management Edition bestimmte HTTP-Anfragen nicht ordnungsgemäß validieren. Speziell präparierte Anfragen können den Server dazu zwingen, beliebige Dateien in das zugrunde liegende Betriebssystem zu schreiben. Angreifer nutzen diese Dateien dann als Sprungbrett, um ihre Berechtigungen auf die höchste Systemebene (Root) auszuweiten. Dieses zweistufige Angriffsmuster führt zu einer Inkonsistenz zwischen dem CVSS-Score und der Einstufung. Der CVSS-Basisscore von CVE-2026-20230 beträgt 8,6 (von maximal 10 Punkten). Dieser Score bewertet nur die Auswirkungen des Dateischreibvorgangs auf die Integrität. Der Bericht stellt klar, dass dieser Schritt „nur die Integrität beeinträchtigt, ohne Verlust der Vertraulichkeit oder Verfügbarkeit“. Die anschließende Root-Rechteausweitung wird nicht berücksichtigt. Cisco stuft die Meldung dennoch als „kritisch“ ein, mit der Begründung, dass der Angriff letztendlich vollständige Root-Rechte erlangen kann.

Für die Sicherheitslücke gibt es einen mildernden Faktor: Sie ist nur wirksam, wenn der WebDialer-Dienst läuft, der in der Standardkonfiguration deaktiviert ist. Für Bereitstellungen, bei denen der WebDialer-Dienst aktiviert ist, greift diese Abhilfemaßnahme nicht. Administratoren können über die Cisco Unified CM Administration in die Cisco Unified Serviceability wechseln, unter Tools > Control Center - Feature Services den Status des Cisco WebDialer Web Service im Bereich CTI Services überprüfen. Wird „Gestartet“ angezeigt, besteht ein Risiko.

Das Einspielen von Patches ist die einzige Möglichkeit, die Sicherheitslücke zu beheben. Für Version 14 ist der entsprechende Patch 14SU6. Für Version 15 wird das vollständige Service Update (15SU5) erst im September 2026 veröffentlicht. Bis dahin muss entweder ein temporärer COP-Patch verwendet oder der WebDialer-Dienst deaktiviert werden (unter Tools > Service Activation die Markierung entfernen und speichern). Die Sicherheitslücke wurde von einem unabhängigen Forscher in Zusammenarbeit mit SSD Secure Disclosure gemeldet.

Unified CM war bereits mehrfach eine Quelle für nicht authentifizierte Root-Level-Sicherheitslücken. Im Juli 2025 entfernte Cisco ein während der Entwicklung hinterlassenes hartcodiertes Root-SSH-Konto (CVE-2025-20309, CVSS 10). Im Januar 2026 behob Cisco eine nicht authentifizierte RCE-Sicherheitslücke (CVE-2026-20045) in mehreren seiner Sprachprodukte, die bereits in freier Wildbahn ausgenutzt wurde und von der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) in den Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen wurde. Die aktuelle Sicherheitslücke CVE-2026-20230 folgt einem ähnlichen Muster: Anfragen, die sensible Informationen eigentlich nicht erreichen sollten, können dies letztendlich doch tun. Da der PoC veröffentlicht wurde und die Behebung für Version 15 noch Monate dauert, ist absehbar, dass diese Dateischreib-Sicherheitslücke vor der vollständigen Bereitstellung von Patches für tatsächliche Angriffe genutzt werden könnte.

Dieser Artikel wurde von Wedoany übersetzt und bearbeitet. Bei jeglicher Zitierung oder Nutzung durch künstliche Intelligenz (KI) ist die Quellenangabe „Wedoany“ zwingend vorgeschrieben. Sollten Urheberrechtsverletzungen oder andere Probleme vorliegen, bitten wir Sie, uns unverzüglich zu benachrichtigen. Wir werden den entsprechenden Inhalt umgehend anpassen oder löschen.

E-Mail: news@wedoany.com

Amerika
IKTTechnik für KommunikationsgeräteTechnik für Informationsvertraulichkeit und Datensicherheit
Vorheriger Artikel:Google bringt KI-Tool zur Organisation von Drive-Dateien auf den Markt
Nächster Artikel:Japanische Regierung plant Austausch von Kernkraftwerken: Bis in den 2040er Jahren sollen 2 bis 5 Anlagen ersetzt werden
relevante Produkte
Angebotsgespräch
Ka-Band Phased-Array-Antennen-Sende-Subarray
COXSAT TECHNOLOGY CO., LTD.
Angebotsgespräch
FAO (Autonome Fahrzeuge)
UniTTEC Co., Ltd.
Angebotsgespräch
Elektrohydraulisches Steuerungssystem für SAC-Hydraulikausbaugestelle
Beijing Tianma Intelligent Control Technology Co., Ltd.
Angebotsgespräch
Neolix X3 – der fahrerlose Kastenwagen
Neolix Beijing Technology Co., Ltd.
Angebotsgespräch
Intelligentes Überwachungssystem für Förderbänder
LUO YANG WIRE ROPE INSPECTION TECHNOLOGY CO., LTD.
Angebotsgespräch /Set
Kollaboratives Energiemanagement- und Steuerungssystem für Cloud, Edge und Endgeräte
Beijing Agent Devote Power Technology Development Co., Ltd.
Angebotsgespräch
Singlemode-Glasfaser G.652B
SHENZHEN SDG INFORMATION CO., LTD.
Angebotsgespräch
QPS-20A schnelles Umschaltgerät für redundante Stromversorgung
CHN ENERGY ZHISHEN CONTROL TECHNOLOGY CO., LTD.
Angebotsgespräch
SIS-Sicherheitsinstrumentierungslösung
Beijing Consen Automation Technology Co., Ltd.
Angebotsgespräch
TWP16 P-Band-Troposphären-Windprofiler-Radar
China Huayun Meteorological Technology Group Co., Ltd.
Angebotsgespräch
Industrieschalter für den Hausgebrauch
Shenzhen Yuhang Communication Technology Co., Ltd.
Angebotsgespräch
Tragbares Satellitenterminal mit Flachbildschirm – manuelles tragbares Terminal mit 0,35-Meter-Öffnung
China Starwin Science & Technology co., Ltd.
Empfehlungen in Verbindung damit
Chinas GigaDevice und NIO schließen sich zusammen, um die gemeinsame Entwicklung von Automotive-Chips voranzutreiben
2026-06-05
Chinesischer Halbleitertestausrüster Jingzhida gründet Tochtergesellschaft mit 50 Millionen Yuan in Shanghai
2026-06-05
EU führt Souveränitätsprogramm für Technologien ein und gestaltet Regeln für Cloud-Computing und KI-Infrastruktur neu
2026-06-05
NeoClaw von Neolithium treibt den Wandel des Betriebs autonomer Fahrzeuge hin zur KI-gestützten Dialogsteuerung voran
2026-06-05
Zhongtian Technology aus China gewinnt Ausschreibung für Glasfaser-Verbrauchsmaterialien für Rechenzentren im Wert von 1,518 Milliarden Yuan
2026-06-05
Lingxi Cloud finanziert Gehirn-Computer-Schnittstelle mit Big Data und neurodynamischem Großmodell
2026-06-05
Neolithikum China gründet Robotik-Technologieunternehmen in Anhui
2026-06-05
Yuanli Lingji fusioniert mit Atomix, um Embodied-Modelle mit Logistik-Szenarien zu verbinden
2026-06-05
Chinas Qianfan-Konstellation erreicht 200 Satelliten im Orbit und schließt Vernetzung des AIS-Satellitensystems ab
2026-06-05
FAW Audi Assistenzfahr-Patent integriert Schlafdaten zur Erkennung von Müdigkeit
2026-06-05
Neueste Nachrichten
1
Chinas GigaDevice und NIO schließen sich zusammen, um die gemeinsame Entwicklung von Automotive-Chips voranzutreiben
2
CSL Group übernimmt viertes Kamsarmax-Schiff
3
Chinesischer Halbleitertestausrüster Jingzhida gründet Tochtergesellschaft mit 50 Millionen Yuan in Shanghai
4
EU führt Souveränitätsprogramm für Technologien ein und gestaltet Regeln für Cloud-Computing und KI-Infrastruktur neu
5
Global Airlines plant A380-12-Jahres-Check bis Ende 2026
6
Das Haus der Höhen in Barcelona wird Wahrzeichen der Welthauptstadt der Architektur 2026
7
Fünf Sanierungsprojekte im Süden Mumbais mit einem Gesamttransaktionswert von über 7,26 Milliarden INR
8
Sanierung des Mercury-Gebäudes in London: Faithdean mit 98.000 Quadratfuß Fläche beauftragt
9
Südafrikanische Wirtschaftsorganisationen schlagen Ausweitung des öffentlich-privaten Partnerschaftsmodells auf Johannesburg vor
10
US Army Corps of Engineers verschiebt Baggerprojekt im Hafen von Rock Hall auf das Haushaltsjahr 2027