Datenschutz & Sicherheit
Cisco stopft kritische Lücke in Unified CM und mehr
Cisco hat am Mittwoch drei Sicherheitsmitteilungen zu teils als kritische eingestuften Schwachstellen veröffentlicht. Sie betreffen Ciscos Unified Communications Manager, Webex Meetings und Finesse. Admins sollten die bereitgestellten Updates zügig anwenden, da im Netz offenbar Proof-of-Concept-Exploit-Code für mindestens eine Lücke aufgetaucht ist.
Weiterlesen nach der Anzeige
Am schwersten wiegt eine Schwachstelle des Typs Server-Side Request Forgery (SSRF), bei der Angreifer Zugriff auf interne, geschützte Netzwerke erhalten. Einige HTTP-Anfragen werden laut Ciscos Mitteilung nicht korrekt geprüft, sodass nicht authentifizierte Angreifer aus dem Netz sogar schreibenden Zugriff auf das Betriebssystem und dabei root-Rechte erlangen können (CVE-2026-20230, CVSS 8.6, Risiko „hoch“). Abweichend von der Einstufung nach CVSS sehen Ciscos Entwickler die Sicherheitslücke jedoch sogar als „kritisch“ an. Damit die Lücke ausnutzbar ist, muss der WebDialer-Dienst aktiviert sein – standardmäßig ist er das jedoch nicht. Ciscos Unified CM und Unified CM SME 14SU6 sowie 15SU5 stopfen das Leck, wobei letztere Fassung erst für den September 2026 angekündigt ist. Für diese Lücke ist im Netz Proof-of-Concept-Exploit-Code aufgetaucht, ergänzt Cisco, jedoch sei dem Hersteller noch kein bösartiger Missbrauch der Schwachstelle bekannt.
Lücken mit mittelschwerem Bedrohungsgrad
Außerdem können Angreifer aus dem Netz ohne vorherige Anmeldung in Ciscos Webex Meetings Cross-Site-Scripting-Angriffe ausführen und dabei Opfern in bösartigen Links JavaScript-Code unterschieben, der in ihrem Kontext ausgeführt wird (CVE-2026-20233, CVSS 6.1, Risiko „mittel“). Da die Software die Cloud-basierte Lösung von Cisco ist, haben die Entwickler die Fehler bereits serverseitig ausgebessert, schreiben sie in der Sicherheitsmitteilung. Nutzer oder Admins müssten weiter nichts machen.
In Ciscos Finesse klafft eine Sicherheitslücke, die nicht authentifizierten Angreifern aus dem Netz das Einbinden beliebiger externer Dateien in aktive User-Sessions ermöglicht, was browserbasierte Angriffe erlaubt (CVE-2026-20175, CVSS 6.1, Risiko „mittel“). Angreifer, die die Adresse eines verwundbaren Gerätes kennen, können das durch Verleiten von Nutzern, auf einen sorgsam präparierten Link zu klicken, missbrauchen, erklärt Cisco. Cisco Finesse 15.0(1)SU1 korrigiert den Fehler, ältere Versionen müssen auf diesen Entwicklungszweig migriert werden.
Vor rund drei Wochen hatte Cisco ein Sicherheitsleck mit Höchstwertung in Secure Workload schließen müssen.
(dmk)