Cisco waarschuwt organisaties voor een kritieke kwetsbaarheid in de Cisco Unified Communications Manager en is bekend met publieke proof-of-concept exploitcode voor het probleem. Er zijn updates uitgebracht om het beveiligingslek (CVE-2026-20230) te verhelpen. Cisco Unified Communications Manager is een voip-platform dat telefoongesprekken verwerkt.

Het voip-platform gaat niet goed om met bepaalde HTTP requests. Een remote ongeauthenticeerde aanvaller kan door het versturen van een speciaal geprepareerd HTTP request bestanden naar het onderliggende besturingssysteem schrijven die later zijn te gebruiken om root op het systeem te worden. Voorwaarde voor misbruik is wel dat de WebDialer staat ingeschakeld. Deze functie maakt het mogelijk voor gebruikers om via web- en desktopapplicaties telefoongesprekken te voeren. Standaard staat de feature niet ingeschakeld.

De impact van het beveiligingslek is beoordeeld met een CVSS-score van 8.6 op een schaal van 1 tot en met 10. Normaliter worden kwetsbaarheden pas kritiek genoemd als ze een CVSS-score van 9.0 of hoger hebben. In dit geval spreekt Cisco toch van een kritiek probleem omdat een aanvaller via het lek root kan worden. Verder meldt Cisco dat er proof-of-concept exploitcode online staat waarmee er misbruik van het lek te maken is. Cisco voegt toe dat het nog geen aanwijzingen van actief misbruik heeft waargenomen. Organisaties worden opgeroepen om de beschikbaar gestelde updates te installeren.