製品・ソフトウェアに関する情報

JVN脆弱性詳細

シスコシステムズのCisco Unified Communications Managerにおけるサーバサイドのリクエストフォージェリの脆弱性

タイトル	シスコシステムズのCisco Unified Communications Managerにおけるサーバサイドのリクエストフォージェリの脆弱性
概要	Cisco Unified Communications Manager（Unified CM）および Cisco Unified Communications Manager Session Management Edition（Unified CM SME）には脆弱性が存在し、認証されていないリモート攻撃者が影響を受けるデバイスを通じてサーバーサイドリクエストフォージェリ（SSRF）攻撃を実行できる可能性があります。この脆弱性は特定のHTTPリクエストに対する入力検証の不備が原因です。攻撃者は細工されたHTTPリクエストを影響を受けるデバイスに送信することで、この脆弱性を悪用できます。悪用に成功すると、攻撃者は基盤となるオペレーティングシステムにファイルを書き込み、その後にroot権限へ昇格するために使用する可能性があります。注：Ciscoは本セキュリティアドバイザリに対して、影響度評価（SIR）のスコアを高（High）ではなく重大（Critical）に割り当てています。これは、この脆弱性の悪用により攻撃者がroot権限に昇格できる可能性があるためです。注：この脆弱性を悪用するには、WebDialerサービスを有効にしている必要があります。なお、WebDialerはデフォルトで無効となっています。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月3日0:00
登録日	2026年6月29日11:26
最終更新日	2026年6月29日11:26

CVSS3.0 : 重要
スコア	8.6
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N

影響を受けるシステム

シスコシステムズ

Cisco Unified Communications Manager 14.0 以上 14su6 未満

Cisco Unified Communications Manager 15.0 から 15su4a

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
CISA Known Exploited Vulnerabilities Catalog
1	CVE-2026-20230	https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-20230
Common Vulnerabilities and Exposures (CVE)
2	CVE-2026-20230	https://www.cve.org/CVERecord?id=CVE-2026-20230
DenizHalil
3	CVE-2026-20230: Cisco Unified CM SSRF & Root Exploit Analysis	https://denizhalil.com/2026/06/12/cve-2026-20230-cisco-unified-cm-ssrf/
National Vulnerability Database (NVD)
4	CVE-2026-20230	https://nvd.nist.gov/vuln/detail/CVE-2026-20230

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-918	https://cwe.mitre.org/data/definitions/918.html

ベンダー情報

No	名前	URL
Cisco Security Advisory
1	Cisco Unified Communications Manager Server-Side Request Forgery Vulnerability	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW

変更履歴

No	変更内容	変更日
1	[2026年06月29日] 掲載	2026年6月29日11:26

NVD脆弱性情報

CVE-2026-20230

概要	A vulnerability in Cisco Unified Communications Manager (Unified CM) and Cisco Unified Communications Manager Session Management Edition (Unified CM SME) could allow an unauthenticated, remote attacker to conduct server-side request forgery (SSRF) attacks through an affected device. This vulnerability is due to improper input validation for specific HTTP requests. An attacker could exploit this vulnerability by sending a crafted HTTP request to an affected device. A successful exploit could allow the attacker to write files to the underlying operating system that could be used later to elevate to root. Note: Cisco has assigned this security advisory a Security Impact Rating (SIR) of Critical rather than High as the score indicates. The reason is that exploitation of this vulnerability could result in an attacker elevating privileges to root. Note: To exploit this vulnerability, the WebDialer service must be enabled. WebDialer is disabled by default.
公表日	2026年6月4日3:16
登録日	2026年6月4日4:16
最終更新日	2026年6月4日22:54