Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un nuevo aviso de seguridad

Falsificación de solicitudes del lado del servidor en productos de Cisco

Fecha04/06/2026
Importancia4 - Alta
Recursos Afectados

Cisco Unified CM, versión 14, y Unified CM SME, versión 15, si tienen habilitado el servicio WebDialer.

Descripción

Cisco ha publicado una vulnerabilidad de severidad alta que podría permitir a un atacante remoto, no autenticado, realizar ataques de falsificación de solicitudes del lado del servidor (SSRF) a través de un dispositivo afectado.

Solución

Actualizar a las versiones 14SU6 y 15SU5 (septiembre de 2026) o COP 1, respectivamente.

Detalle
  • CVE-2026-20230: se debe a una validación de entrada incorrecta para ciertas solicitudes HTTP. Un atacante podría explotarla enviando una solicitud HTTP manipulada a un dispositivo afectado y permitirle escribir archivos en el sistema operativo subyacente, los cuales podrían usarse posteriormente para obtener privilegios de administrador.