Threats

Exploração ativa de falha no Unified CM confirmada

A Cisco confirmou que uma vulnerabilidade no Unified Communications Manager está a ser explorada em ataques e reforça o apelo para que as organizações atualizem os sistemas afetados

03/07/2026

Exploração ativa de falha no Unified CM confirmada
maxterram / AdobeStock

A Cisco confirmou que uma vulnerabilidade no Unified Communications Manager (Unified CM) e no Unified Communications Manager Session Management Edition (Unified CM SME) está a ser explorada em ataques, poucas semanas depois de disponibilizar as correções de segurança.

Identificada como CVE-2026-20230 e com uma classificação CVSS de 8,6, a falha resulta de uma validação inadequada de determinados pedidos HTTP e pode ser explorada para realizar ataques Server-Side Request Forgery (SSRF).

Segundo a Cisco, a exploração bem-sucedida da vulnerabilidade pode permitir a colocação de ficheiros arbitrários no sistema operativo subjacente e cria condições para a obtenção de privilégios de root. Apenas os equipamentos com o serviço WebDialer ativado são vulneráveis, sendo que esta funcionalidade está desativada por defeito.

A empresa disponibilizou correções para a vulnerabilidade no início de junho, através da versão 14SU6 do Unified CM e do Unified CM SME. A atualização será também incluída na versão 15SU5, prevista para setembro.

Inicialmente, a Cisco referiu apenas a existência de um código de prova de conceito (PoC - Proof of Concept, em inglês), sem evidências de exploração maliciosa. No entanto, atualizou agora o aviso de segurança para confirmar que a vulnerabilidade está a ser explorada em ataques e voltou a recomendar a atualização imediata dos sistemas afetados.

A confirmação surge uma semana depois de a empresa de inteligência de ameaças Defused ter reportado tentativas de exploração da falha e após a publicação de informação técnica e de um código de prova de conceito pela SSD Secure Disclosure, entidade responsável pela descoberta da vulnerabilidade.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº30 JUNHO 2026

IT SECURITY Nº30 JUNHO 2026

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.