思科企業通訊管理平臺Unified CM存在重大SSRF漏洞，恐遭用於權限提升攻擊

思科將該漏洞的安全影響評等列為重大等級，高於CVSS 8.6分對應的高風險等級。官方解釋，原因是攻擊者成功利用後，可能將檔案寫入底層作業系統，作為日後提升至root權限的手段。CVE-2026-20230源於系統對特定HTTP請求的輸入驗證不當，未經身分驗證的遠端攻擊者只要向受影響裝置送出特製HTTP請求，就可能發動攻擊。

不過，該漏洞要生效有明確前提，並非所有Unified CM部署皆受影響，只有啟用WebDialer網頁撥號服務的Cisco Unified CM與Unified CM SME環境，才在CVE-2026-20230影響範圍。

管理員可登入Cisco Unified CM管理介面，檢查Cisco WebDialer Web Service是否處於已啟動狀態。目前官方沒有提供可完全替代修補程式的解決方式，但在正式套用修補前，管理員可先停用WebDialer服務，作為降低風險的臨時措施。WebDialer預設為停用，因此管理員需要先確認實際部署狀態，才能判斷是否暴露於相關風險。

Cisco Unified CM與Unified CM SME 14版的修補版本為14SU6；15版則為15SU5，預計於2026年9月提供，或可使用版本對應的COP修補程式。思科提醒，暫時停用WebDialer服務只能降低風險，完整處理仍需升級到已修補版本。

思科產品安全事件應變團隊表示，已知這項漏洞已有概念驗證利用程式碼公開，但截至公告發布時，尚未掌握惡意利用案例。