CVE-2026-20230: Cisco Unified CM SSRF führt zu Root

Wer eine Cisco-Telefonanlage betreibt, sollte diese Nacht nicht durchschlafen: Für CVE-2026-20230 im Cisco Unified Communications Manager (Unified CM) kursiert bereits funktionierender Exploit-Code. Die Lücke erlaubt einem unauthentifizierten Angreifer aus der Ferne, über eine Server-Side-Request-Forgery (SSRF) Dateien zu schreiben — und sich darüber bis zu Root-Rechten hochzuhangeln.

SCHOCK: 8.6 Punkte — aber Cisco sagt „kritisch“

Auf der CVSS-Skala steht die Lücke bei 8.6 — technisch „hoch“. Cisco selbst hat sie aber im Advisory zur kritischen Stufe hochgesetzt. Der Grund: Was als harmlos klingende SSRF beginnt, endet im schlimmsten Fall mit voller Kontrolle über das Betriebssystem der Telefonanlage. Die Schwachstelle steckt in der unzureichenden Eingabeprüfung bestimmter HTTP-Anfragen, die der WebDialer-Dienst verarbeitet. Ein Angreifer schickt präparierte Requests, löst das SSRF-Verhalten aus und schreibt darüber eigene Dateien aufs System.

GUTE NACHRICHT: WebDialer ist standardmäßig AUS

Die wichtigste Entwarnung vorweg: Die Lücke ist nur ausnutzbar, wenn WebDialer aktiviert ist — und das ist es ab Werk nicht. Viele Anlagen sind also gar nicht angreifbar. Wer den Dienst aber für Click-to-Dial-Funktionen eingeschaltet hat, steht jetzt im Feuer, denn der PoC ist öffentlich.

SO entschärfst du die Lücke SOFORT

Variante 1 — Patchen: Die korrigierte Version 14SU6 steht bereit. Für die 15er-Linie kommt der Fix erst mit 15SU5 im September 2026 — bis dahin gibt es übergangsweise COP-Patches. Variante 2 — Dienst abschalten: Wenn du WebDialer nicht zwingend brauchst, deaktiviere ihn. Das geht im Cisco Unified Serviceability über das Menü „Service Activation“, indem du den „Cisco WebDialer Web Service“ stoppst. Damit ist die Angriffsfläche sofort weg.

Variante 3 — Absichern: Wer den Dienst braucht, sollte den Zugriff auf das Web-Interface streng per Firewall und Management-VLAN einschränken. Eine Telefonanlage gehört ohnehin nie ungefiltert ins offene Netz.

FAZIT: Prüfen, ob WebDialer läuft — und dann handeln

Die Kombination aus öffentlichem Exploit und potenzieller Root-Übernahme macht CVE-2026-20230 zur Hausaufgabe für jeden Cisco-Admin. Der erste Griff: Status des WebDialer-Dienstes prüfen. Läuft er, dann patchen oder abschalten — heute Nacht, nicht nächste Woche.

Häufige Fragen

Welche Systeme sind betroffen?

Betroffen ist der Cisco Unified Communications Manager (Unified CM), sofern der WebDialer-Dienst aktiviert ist. Standardmäßig ist dieser Dienst deaktiviert — Anlagen ohne aktivierten WebDialer sind nicht über CVE-2026-20230 angreifbar.

Wie merke ich, ob mein System verwundbar ist?

Prüfe in Cisco Unified Serviceability unter Service Activation, ob der Cisco WebDialer Web Service läuft. Ist er aktiv und das System nicht gepatcht, bist du angreifbar — zumal öffentlicher Exploit-Code existiert. Inaktiver WebDialer bedeutet kein Risiko über diese Lücke.

Wie behebe ich das Problem konkret?

Spiele die gepatchte Version 14SU6 ein. Für die 15er-Linie erscheint der Fix mit 15SU5 im September 2026 — bis dahin gibt es COP-Übergangspatches. Wenn du WebDialer nicht brauchst, deaktiviere den Dienst; das entfernt die Angriffsfläche sofort. Schränke den Zugriff zusätzlich per Firewall ein.

Gab es schon aktive Angriffe?

Es ist öffentlicher Proof-of-Concept-Exploit-Code verfügbar, was Angriffe deutlich wahrscheinlicher macht. Bestätigte Massenangriffe sind zum Zeitpunkt der Veröffentlichung nicht dokumentiert — aber bei öffentlichem PoC ist schnelles Handeln Pflicht, weil Angreifer den Code direkt übernehmen können.

Quellen: SOCRadar zu CVE-2026-20230 · TechTimes · Cyber Security News

ROOT-ALARM! Eine ungepatchte Cisco-Telefonanlage öffnet Angreifern JETZT die Hintertür — Exploit-Code ist schon im Netz