Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Falsificación de solicitudes del lado del servidor en productos de Cisco

Fecha de publicación 04/06/2026
Identificador
INCIBE-2026-398
Importancia
4 - Alta
Recursos Afectados

Cisco Unified CM, versión 14, y Unified CM SME, versión 15, si tienen habilitado el servicio WebDialer.

Descripción

Cisco ha publicado una vulnerabilidad de severidad alta que podría permitir a un atacante remoto, no autenticado, realizar ataques de falsificación de solicitudes del lado del servidor (SSRF) a través de un dispositivo afectado.

Solución

Actualizar a las versiones 14SU6 y 15SU5 (septiembre de 2026) o COP 1, respectivamente.

Detalle
  • CVE-2026-20230: se debe a una validación de entrada incorrecta para ciertas solicitudes HTTP. Un atacante podría explotarla enviando una solicitud HTTP manipulada a un dispositivo afectado y permitirle escribir archivos en el sistema operativo subyacente, los cuales podrían usarse posteriormente para obtener privilegios de administrador.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-20230 Alta No Cisco
Listado de referencias
Cisco Unified Communications Manager Server-Side Request Forgery Vulnerability
Etiquetas