Уязвимость CVE‑2026‑20230 в компоненте WebDialer платформы Cisco Unified Communications Manager (Unified CM) и версии Session Management Edition (Unified CM SME) получила оценку 8.6 по шкале CVSS и классифицирована как high severity. Суть бага — некорректная проверка входящих данных, через которую злоумышленник без какой‑либо аутентификации способен отправить подложный HTTP‑запрос и спровоцировать серверную подделку запросов (SSRF). Дальше — запись произвольных файлов в операционную систему устройства через пейлоад с протоколом
Ключевое условие для успешной атаки: сервис WebDialer должен быть включён. В стандартной поставке он выключен, поэтому под удар попадают только те организации, которые осознанно его активировали — например, ради интеграции с контакт‑центрами, CRM или операторскими панелями. Если WebDialer в инфраструктуре не используется, узлы остаются вне зоны риска. Но если служба поднята, любой неаутентифицированный атакующий в сетевой доступности способен выполнить эксплойт одним запросом.
Cisco выпустила обновления безопасности и сопроводительное уведомление «ранее в этом месяце» (относительно даты публикации исходной заметки). Сама методика атаки детально расписана исследователями SSD Secure Disclosure: WebDialer применяется для получения настоящего имени хоста, затем через подложные запросы с
Подтверждённая активность в реальных сетях — самый тревожный сигнал. Исследователи Defused Cyber через X (бывший Twitter) сообщили, что эксплойты идут с одного внешнего источника, и атакующий применяет не прошедший проверку (unvetted) публичный PoC, а пейлоады для записи файлов выглядят корректно сформированными — то есть это не сырое тестирование, а прицельные попытки. Часть трафика зафиксирована на приманках (honeypots), но гетерогенность источников и форм пейлоада говорит о том, что реальные корпоративные узлы тоже могут уже получать такие запросы.
25 июня 2026 года уязвимость попала в каталог CISA Known Exploited Vulnerabilities (KEV). Ведомство напомнило, что с этого момента действует Binding Operational Directive 22-01 и федеральные структуры обязаны закрыть брешь к 28 июня 2026 года. То есть на патч у агентств FCEB — трое суток от публикации в KEV. Частный сектор формально не обязан укладываться в этот срок, но сам факт включения в каталог обычно сигнализирует SOC‑командам: «это уже не теория».
Фоном идёт ещё одна история из экосистемы Cisco: CVE‑2026‑20262 в Catalyst SD‑WAN Manager с оценкой 6.6 medium, под которую обновления вышли «на прошлой неделе» (снова относительно даты исходной заметки) и зафиксирована эксплуатация in the wild. Два активных эксплойта в одних руках за пару недель — нетипичная концентрация, особенно когда один из них не требует аутентификации, а другой ходит в общем потоке с PoC.
Если в инфраструктуре есть Cisco Unified CM или Unified CM SME, последовательность действий на ближайшие дни такая. Сначала — быстрая инвентаризация: где именно включён WebDialer? Служба по умолчанию выключена, поэтому список рискующих узлов обычно короткий. Затем — выбор стратегии: либо патч по процедуре Cisco с плановым окном обслуживания, либо немедленное отключение WebDialer как временная мера. Параллельно — разбор логов WebDialer и HTTP‑доступа на предмет подозрительных запросов с аномальными заголовками, попыток резолва внутренних имён и обращений к
Здесь же скрыта ловушка для тех, кто закрывает CVE‑2026‑20230 «на автомате». Поскольку компонент по умолчанию выключен, очень легко отчитаться: «у нас WebDialer не используется, нас это не касается». Но именно такие ответы массово попадают в отчёты после CVE прошлых лет, пока выясняется, что в одном из тестовых стендов или в региональном филиале сервис тихо включили интеграторы ради конкретной задачи и забыли. До патча стоит проверить все кластеры, включая SME и резервные площадки, и подтвердить статус службы не по памяти, а запросом CLI/конфигурации.
Отдельный нюанс — PoC. Исследователи Defused Cyber говорят, что эксплойт‑код распространяется неофициально и не прошёл рецензирования, но при этом пейлоады выглядят грамотно оформленными. Это означает, что скрипт‑кидди способны повторить атаку без глубоких знаний Cisco, достаточно копи‑пасты. Следовательно, любой публично доступный узел с включённым WebDialer — реальная цель уже сейчас, а не «когда появится нормальный эксплойт». Каждый день промедления стоит считать за возможность получить визит от неизвестного «единственного источника» в логах.
И напоследок — про общий контекст. Cisco за последние недели дважды попадала в заголовки из-за активной эксплуатации собственных продуктов: WebDialer даёт полный контроль над узлом без пароля, а Catalyst SD‑WAN Manager уже используется злоумышленниками для закрепления в периметре. Связка Unified CM и SD‑WAN Manager встречается у крупных операторов связи и корпоративных голосовых платформ, где сбой влечёт не только утечку данных, но и паралич основного бизнес‑процесса — телефонной связи. Поэтому патч‑менеджмент в этой части инфраструктуры стоит поднять на уровень выше обычного расписания обновлений: обновления вышли, KEV‑дедлайн для федералов — 28 июня 2026, эксплойт уже в сети, а PoC гуляет по открытым каналам.
file://, а оттуда уже рукой подать до повышения привилегий до суперпользователя и удалённого выполнения кода. То есть фактически полный контроль над атакуемым узлом, без единого пароля. Ключевое условие для успешной атаки: сервис WebDialer должен быть включён. В стандартной поставке он выключен, поэтому под удар попадают только те организации, которые осознанно его активировали — например, ради интеграции с контакт‑центрами, CRM или операторскими панелями. Если WebDialer в инфраструктуре не используется, узлы остаются вне зоны риска. Но если служба поднята, любой неаутентифицированный атакующий в сетевой доступности способен выполнить эксплойт одним запросом.
Cisco выпустила обновления безопасности и сопроводительное уведомление «ранее в этом месяце» (относительно даты публикации исходной заметки). Сама методика атаки детально расписана исследователями SSD Secure Disclosure: WebDialer применяется для получения настоящего имени хоста, затем через подложные запросы с
file:// записываются файлы в ОС, после чего следует эскалация до root и выполнение кода. Совет производителя прост: наложить патч немедленно. Если обновление невозможно применить прямо сейчас, нужно отключить сервис WebDialer до того момента, когда апдейт встанет на бой. Подтверждённая активность в реальных сетях — самый тревожный сигнал. Исследователи Defused Cyber через X (бывший Twitter) сообщили, что эксплойты идут с одного внешнего источника, и атакующий применяет не прошедший проверку (unvetted) публичный PoC, а пейлоады для записи файлов выглядят корректно сформированными — то есть это не сырое тестирование, а прицельные попытки. Часть трафика зафиксирована на приманках (honeypots), но гетерогенность источников и форм пейлоада говорит о том, что реальные корпоративные узлы тоже могут уже получать такие запросы.
25 июня 2026 года уязвимость попала в каталог CISA Known Exploited Vulnerabilities (KEV). Ведомство напомнило, что с этого момента действует Binding Operational Directive 22-01 и федеральные структуры обязаны закрыть брешь к 28 июня 2026 года. То есть на патч у агентств FCEB — трое суток от публикации в KEV. Частный сектор формально не обязан укладываться в этот срок, но сам факт включения в каталог обычно сигнализирует SOC‑командам: «это уже не теория».
Фоном идёт ещё одна история из экосистемы Cisco: CVE‑2026‑20262 в Catalyst SD‑WAN Manager с оценкой 6.6 medium, под которую обновления вышли «на прошлой неделе» (снова относительно даты исходной заметки) и зафиксирована эксплуатация in the wild. Два активных эксплойта в одних руках за пару недель — нетипичная концентрация, особенно когда один из них не требует аутентификации, а другой ходит в общем потоке с PoC.
Если в инфраструктуре есть Cisco Unified CM или Unified CM SME, последовательность действий на ближайшие дни такая. Сначала — быстрая инвентаризация: где именно включён WebDialer? Служба по умолчанию выключена, поэтому список рискующих узлов обычно короткий. Затем — выбор стратегии: либо патч по процедуре Cisco с плановым окном обслуживания, либо немедленное отключение WebDialer как временная мера. Параллельно — разбор логов WebDialer и HTTP‑доступа на предмет подозрительных запросов с аномальными заголовками, попыток резолва внутренних имён и обращений к
file:// в параметрах. Любые такие следы до отключения — повод считать узел скомпрометированным и инициировать расследование, а не просто остановить службу. После патча — повторный аудит и подтверждение, что в системе не осталось сторонних файлов в каталогах, доступных WebDialer. Здесь же скрыта ловушка для тех, кто закрывает CVE‑2026‑20230 «на автомате». Поскольку компонент по умолчанию выключен, очень легко отчитаться: «у нас WebDialer не используется, нас это не касается». Но именно такие ответы массово попадают в отчёты после CVE прошлых лет, пока выясняется, что в одном из тестовых стендов или в региональном филиале сервис тихо включили интеграторы ради конкретной задачи и забыли. До патча стоит проверить все кластеры, включая SME и резервные площадки, и подтвердить статус службы не по памяти, а запросом CLI/конфигурации.
Отдельный нюанс — PoC. Исследователи Defused Cyber говорят, что эксплойт‑код распространяется неофициально и не прошёл рецензирования, но при этом пейлоады выглядят грамотно оформленными. Это означает, что скрипт‑кидди способны повторить атаку без глубоких знаний Cisco, достаточно копи‑пасты. Следовательно, любой публично доступный узел с включённым WebDialer — реальная цель уже сейчас, а не «когда появится нормальный эксплойт». Каждый день промедления стоит считать за возможность получить визит от неизвестного «единственного источника» в логах.
И напоследок — про общий контекст. Cisco за последние недели дважды попадала в заголовки из-за активной эксплуатации собственных продуктов: WebDialer даёт полный контроль над узлом без пароля, а Catalyst SD‑WAN Manager уже используется злоумышленниками для закрепления в периметре. Связка Unified CM и SD‑WAN Manager встречается у крупных операторов связи и корпоративных голосовых платформ, где сбой влечёт не только утечку данных, но и паралич основного бизнес‑процесса — телефонной связи. Поэтому патч‑менеджмент в этой части инфраструктуры стоит поднять на уровень выше обычного расписания обновлений: обновления вышли, KEV‑дедлайн для федералов — 28 июня 2026, эксплойт уже в сети, а PoC гуляет по открытым каналам.