CVE-2026-20230

High(8.6)

CVE-2026-20230 — Cisco Unified CM SSRF経由 root権限昇格（CVSS 8.6）

公開日: 2026-06-25データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Unified Communications Manager	Cisco	各バージョン（WebDialer有効時）
Unified CM SME	Cisco	各バージョン（WebDialer有効時）

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

1Cisco UCM/SMEのバージョンを確認する
2WebDialerサービスが有効になっているか確認する（有効な場合は優先度を上げる）
3Ciscoのセキュリティアドバイザリを確認し修正バージョンへアップグレードする
4即時適用が困難な場合はWebDialerサービスを無効化する

影響対象

Cisco UCM/SME利用企業（WebDialer有効環境）

補足

-CiscoのSIRはCritical評価。WebDialerがデフォルト無効のため、有効にしている環境のみ影響あり

CVECiscoUnified CMSSRF権限昇格WebDialer

概要

Cisco Unified Communications Manager (UCM) および Unified CM Session Management Edition (SME) にサーバーサイドリクエストフォージェリ（SSRF）の脆弱性（CWE-918）が発見されました。

WebDialerサービスが有効な場合、未認証のリモート攻撃者がHTTPリクエストを細工することで、影響を受けるデバイスを経由してSSRF攻撃を実行できます。成功した場合、ベースOSへのファイル書き込みが可能になり、さらに root 権限への昇格につながる可能性があります。

注意: Cisco は、CVSSスコア（8.6：High）ではなく Security Impact Rating (SIR) を Critical としています。WebDialer はデフォルトで無効となっています。

CVSSベクトル

項目	値
スコア	8.6（High）
攻撃経路	ネットワーク（AV:N）
攻撃の複雑さ	低（AC:L）
必要な権限	なし（PR:N）
ユーザー操作	不要（UI:N）
CWE	CWE-918（SSRF）

影響を受けるソフトウェア

Cisco Unified Communications Manager（UCM）各バージョン
Cisco Unified Communications Manager Session Management Edition（SME）
条件: WebDialer サービスが有効になっている場合のみ

修正バージョンと回避策

Ciscoが提供する修正バージョンへのアップグレードを実施してください。
即時適用が困難な場合は、WebDialer サービスを無効化することで攻撃ベクターを排除できます（デフォルトは無効）。

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-20230

Cisco Advisory:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。