CVE-2026-20230 の詳細
CVEの情報
説明:
A vulnerability in Cisco Unified Communications Manager (Unified CM) and Cisco Unified Communications Manager Session Management Edition (Unified CM SME) could allow an unauthenticated, remote attacker to conduct server-side request forgery (SSRF) attacks through an affected device.
This vulnerability is due to improper input validation for specific HTTP requests. An attacker could exploit this vulnerability by sending a crafted HTTP request to an affected device. A successful exploit could allow the attacker to write files to the underlying operating system that could be used later to elevate to root.
Note: Cisco has assigned this security advisory a Security Impact Rating (SIR) of Critical rather than High as the score indicates. The reason is that exploitation of this vulnerability could result in an attacker elevating privileges to root.
Note: To exploit this vulnerability, the WebDialer service must be enabled. WebDialer is disabled by default.
CVE更新日: 2026-06-03 18:16:20.160000
CVSSバージョン: 3.1
CVSSスコア: 8.6
KEVの情報
KEV更新日: 2026-06-25
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.416940000
EPSS更新日: 2026-07-16 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
CVE-2026-20230に関する調査結果を以下にまとめます。
1. 脆弱性の概要
CVE-2026-20230は、Cisco Unified Communications Manager (Unified CM) および Cisco Unified Communications Manager Session Management Edition (Unified CM SME) に存在するサーバサイドリクエストフォージェリ (SSRF) の脆弱性です。この脆弱性は、特定のHTTPリクエストに対する不適切な入力検証に起因します。
認証されていないリモートの攻撃者は、細工されたHTTPリクエストを影響を受けるデバイスに送信することで、基盤となるオペレーティングシステムにファイルを書き込むことが可能です。このファイル書き込み機能は、その後root権限への昇格に悪用される可能性があります。
この脆弱性の悪用には、WebDialerサービスが有効になっている必要がありますが、これはデフォルトの設定ではありません。
1.1 影響
1.2 深刻度
2. 対象となる環境
2.1 影響を受けるOSバージョン
2.2 影響を受ける設定
3. 影響を受けた時の兆候
4. 推奨対策
4.1 本対策
4.2 暫定回避策(緩和策)
参照したサイト