📅 24–25 Haz 2026 · 📰 Cisco Advisory / BleepingComputer / Dark Reading / CISA · 🎯 Cisco Unified CM, CM SME, IM&P, UCCX (banka VoIP) · TLP:WHITE
24 Haziran 2026'da Cisco Product Security Incident Response Team (PSIRT), Cisco Unified Communications Manager (Unified CM), Unified CM Session Management Edition (SME) ürünlerinde server-side request forgery zafiyetini açıkladı: CVE-2026-20230 (CVSS 9.8, kritik). Cisco advisory: cisco-sa-cucm-ssrf-cXPnHcW.
Zafiyet, UCM yönetim portalında bir endpoint'in kullanıcı kontrollü URL parametrelerini uygun şekilde doğrulamamasından kaynaklanıyor. Saldırgan, sistemin kendi adına iç ağdaki keyfi servislere HTTP istekleri göndermesini sağlayabiliyor. Bu kapasite tek başına bilgi sızıntısına yol açar; ek dahili servislerle birleştirildiğinde RCE'ye zincirlenebilir.
Dark Reading raporuna göre saldırganlar Cisco advisory'sinden 24 saatten kısa sürede zafiyeti weaponize etti. SecurityWeek ve BleepingComputer 25 Haziran'da aktif istismar olduğunu doğruladı. CISA KEV kataloğuna 25 Haziran'da eklendi ve federal kurumlara acil yamala emri verildi.
Bizdeki etki kritik: Envanterimizde Cisco Unified CM 15.0.1.12900-208 (voip), CUCM IM&P 15.0.1.13000-62 (voip) ve Cisco Unified Contact Center Express 12.5.1.11003 (callcenter) bulunuyor. Cisco patch'i CUCM 15.0.1.13900+ ve eşdeğer SU sürümlerinde yer alıyor. VoIP altyapısı bankamızın çağrı merkezi + dahili iletişim omurgası — derhal patchlenmeli.
İstismar göstergeleri: UCM yönetim arayüzü erişim loglarında dış IP'lerden gelen URL parametresi içeren istekler; UCM süreçlerinin (java, tomcat) outbound iç ağ trafiği; UCM'den localhost dışı dahili IP'lere ani yeni bağlantı sayısı artışı.