概要
CiscoはUnified Communications Manager(Unified CM)およびUnified CM Session Management Edition(SME)に影響するサーバーサイドリクエストフォージェリ(SSRF)脆弱性CVE-2026-20230を公開し、パッチの適用を強く推奨している。CVSSスコアは8.6(High)だが、Ciscoは悪用が成功した場合にroot権限への完全な昇格が可能であることを理由にCritical評価を付与している。特に懸念されるのは、概念実証(PoC)コードがすでに公開されており、現時点では実際の悪用事例は確認されていないものの、攻撃者に先手を打たれる前に対処できるウィンドウが狭まっている点だ。
脆弱性の技術的詳細
本脆弱性はUnified CMのHTTPリクエスト処理における不適切な入力バリデーションに起因する。未認証の攻撃者がネットワーク上から細工したHTTPリクエストを送信するだけで、対象システムのOS上に任意のファイルを書き込むことができる。攻撃者はこのファイル書き込み機能を踏み台として、root権限への特権昇格を達成できる。
重要な制約として、本脆弱性が悪用可能なのはWebDialerサービスが有効化されている環境に限られる。WebDialerはデフォルトで無効化されているため、標準的な設定のまま運用している組織は影響を受けない。ただし、WebDialerを意図的に有効化した環境は直ちにリスクにさらされる状態となる。
パッチと緩和策
Ciscoが提供する修正は以下の通り:
- バージョン14系: 14SU6へのアップデートにより脆弱性が完全に解消される
- バージョン15系: 完全修正版の15SU5は2026年9月に提供予定。現時点では暫定的なCOP(Cisco Options Package)パッチが利用可能
パッチの即時適用が困難な場合は、Cisco Unified CM AdministrationのTools > Service Activationからサービス一覧を確認し、WebDialerを無効化する緩和策を講じることができる。WebDialerが業務上不要であれば、これが最も迅速かつ確実な対策となる。
脆弱性の背景と継続するリスク
Cisco Unified CMはエンタープライズ向け電話・ビデオ会議インフラの中核を担う製品であり、金融・医療・行政などの重要インフラでも広く採用されている。本脆弱性は孤立した事例ではなく、2025年から2026年にかけてUnified CMに対する深刻な脆弱性が相次いでいる。直近ではCVE-2025-20309(ハードコードされたSSH認証情報)やCVE-2026-20045(認証不要のRCEで実際の攻撃に悪用済み)が報告されており、製品のアーキテクチャ全体にわたるセキュリティ課題が浮き彫りになっている。PoCが出回っている現状では、未パッチの環境が実際の攻撃対象となる可能性が高く、バージョン15向けの完全修正が提供される9月を待たずに暫定措置を施すことが強く推奨される。