Cisco Unified CM (CVE-2026-20230) aktiv ausgenutzt — PTC Windchill (CVE-2026-12569) ebenfalls im CISA-KEV

Kurzfazit
CISA hat zwei aktiv ausgenutzte Schwachstellen in den KEV-Katalog aufgenommen: CVE-2026-20230 in Cisco Unified Communications Manager (SSRF, CVSS 8.6, EPSS 42%) ermöglicht unauthentifiziertes Schreiben von Dateien bis hin zu Root; CVE-2026-12569 in PTC Windchill/FlexPLM wird erstmals in freier Wildbahn ausgenutzt. Für CVE-2026-20230 war bereits PoC-Code öffentlich, bevor die Angriffe begannen.
Was ist passiert?
CISA hat am 25. Juni 2026 zwei Schwachstellen aufgrund nachgewiesener aktiver Ausnutzung in den Known-Exploited-Vulnerabilities-Katalog (KEV) aufgenommen.
- CVE-2026-20230 betrifft Cisco Unified Communications Manager (Unified CM) und Unified CM Session Management Edition (SME). Laut Quellen handelt es sich um eine SSRF-Schwachstelle (CVSS 8.6, EPSS 42%), über die ein unauthentifizierter Angreifer im Netzwerk Dateien auf das System schreiben und sich von dort zu Root-Rechten hocharbeiten kann. Cisco hatte den Fehler Anfang Juni gepatcht; zu diesem Zeitpunkt war bereits PoC-Code öffentlich. Inzwischen wird die Lücke aktiv ausgenutzt.
- CVE-2026-12569 betrifft PTC Windchill bzw. FlexPLM (Improper Input Validation, Remote Code Execution). Laut Bericht wurde diese Schwachstelle erstmals in freier Wildbahn ausgenutzt.
Warum ist das relevant?
Unified CM ist die zentrale Telefonie-/Kollaborationsplattform vieler Organisationen; ein unauthentifizierter Pfad von Dateischreibzugriff zu Root kompromittiert ein zentrales, oft tief im Netz verankertes System. PTC Windchill ist eine PLM-Plattform im industriellen Umfeld — die erstmalige Ausnutzung verschiebt sie von theoretischem zu akutem Risiko. Bei beiden CVEs erhöht der KEV-Status und (bei CVE-2026-20230) der vorab öffentliche PoC die Dringlichkeit.
Betroffene Branchen und Technologien
Eine branchenspezifische Eingrenzung geht aus den Quellen nicht eindeutig hervor. Betroffen sind Organisationen mit erreichbaren, nicht gepatchten Cisco-Unified-CM-Instanzen sowie Anwender von PTC Windchill/FlexPLM (typischerweise produzierende Industrie/Engineering).
Priorisierungssignale
- Beide CVEs im CISA-KEV (aktive Ausnutzung bestätigt)
- CVE-2026-20230: CVSS 8.6, EPSS 42%, PoC vor den Angriffen öffentlich, unauthentifiziert → Root
- CVE-2026-12569: erstmalige Ausnutzung in der Wildnis (RCE)
Defensive Empfehlungen
- Cisco Unified CM / Unified CM SME auf die von Cisco bereitgestellten gepatchten Versionen (Fix von Anfang Juni) aktualisieren.
- PTC Windchill/FlexPLM auf den Hersteller-Fix für CVE-2026-12569 prüfen und einspielen.
- Erreichbarkeit beider Systeme aus nicht vertrauenswürdigen Netzen einschränken, bis gepatcht ist.
- Unified-CM-Hosts auf unerwartete Dateischreibvorgänge, neue/privilegierte Konten und ungewöhnliche Prozesse prüfen.
Quellenhinweise
Grundlage sind die CISA-KEV-Aufnahme sowie übereinstimmende Berichterstattung von The Hacker News, SecurityWeek und BleepingComputer. CVSS- (8.6) und EPSS-Werte (42%) für CVE-2026-20230 stammen aus den verknüpften Schwachstellendaten.
Was Security-Teams jetzt prüfen sollten
- 1Cisco Unified CM / Unified CM SME auf die gepatchte Version (Cisco-Fix Anfang Juni) für CVE-2026-20230 aktualisieren.
- 2PTC Windchill/FlexPLM auf den Hersteller-Fix für CVE-2026-12569 prüfen und einspielen.
- 3Erreichbarkeit beider Systeme aus nicht vertrauenswürdigen Netzen einschränken, bis gepatcht ist.
- 4Unified-CM-Hosts auf unerwartete Dateischreibvorgänge, neue privilegierte Konten und ungewöhnliche Prozesse prüfen.
- 5Patch-Status anhand der CISA-KEV-Vorgaben dokumentieren.
Relevante CVEs
Transparenz & Redaktion
- Analyse: SecBoard Research
- Redaktionell verantwortlich: Eike Fellgiebel
- KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
- Stand: 28. Juni 2026