Cisco heeft op woensdag patches uitgerold voor een kwetsbaarheid met hoge ernst in Unified Communications Manager (Unified CM) en Unified Communications Manager Session Management Edition (Unified CM SME). Het bedrijf waarschuwt dat er proof-of-concept (PoC) code beschikbaar is voor deze kwetsbaarheid, die is geregistreerd als CVE-2026-20230 met een CVSS-score van 8.6. De kwetsbaarheid ontstaat doordat invoer in specifieke HTTP-verzoeken niet correct wordt gevalideerd, waardoor aanvallers server-side request forgery (SSRF) aanvallen kunnen uitvoeren.

Volgens Cisco kan een aanvaller deze kwetsbaarheid misbruiken door een speciaal vervaardigd HTTP-verzoek naar een getroffen apparaat te sturen. Een succesvolle exploit kan de aanvaller in staat stellen bestanden te schrijven naar het onderliggende besturingssysteem, wat later kan worden gebruikt om rootrechten te verkrijgen. Cisco benadrukt dat deze kwetsbaarheid als kritiek moet worden beschouwd vanwege de mogelijkheid tot escalatie naar roottoegang. Alleen apparaten met de WebDialer-service ingeschakeld zijn kwetsbaar; deze service staat standaard uit. De patch is beschikbaar in Unified CM en Unified CM SME versie 14SU6, en zal ook worden opgenomen in versie 15SU5 die naar verwachting in september verschijnt.

Daarnaast heeft Cisco op dezelfde dag fixes uitgebracht voor twee kwetsbaarheden met middelhoge ernst in Webex Meetings en Finesse. Deze kunnen door niet-geauthenticeerde, externe aanvallers worden misbruikt voor cross-site scripting (XSS) aanvallen of het laden van willekeurige bestanden in actieve gebruikerssessies. Beide problemen zijn het gevolg van onvoldoende validatie van gebruikersinvoer en kunnen worden geëxploiteerd door gebruikers te verleiden op een kwaadaardige link te klikken, wat leidt tot de uitvoering van willekeurige scriptcode. Cisco meldt dat deze kwetsbaarheden nog niet publiekelijk zijn bekendgemaakt of misbruikt in aanvallen. Meer informatie is te vinden op de pagina met security advisories van Cisco.