fr.wedoany.com Rapport : Cisco a corrigé une vulnérabilité dans Unified Communications Manager, référencée sous le numéro CVE-2026-20230, permettant à un attaquant non authentifié sur le réseau d'écrire des fichiers sur l'appareil, puis d'élever ses privilèges jusqu'à root. Un code de preuve de concept (PoC) a été rendu public. Cisco PSIRT indique n'avoir observé aucune exploitation de cette vulnérabilité dans des attaques réelles, mais la publication du PoC réduit la fenêtre d'opportunité pour les attaquants.

Cette vulnérabilité est classée comme une falsification de requête côté serveur (SSRF). Elle provient du fait qu'Unified CM et son édition Session Management ne valident pas correctement certaines requêtes HTTP. Des requêtes soigneusement conçues peuvent forcer le serveur à écrire des fichiers arbitraires dans le système d'exploitation sous-jacent. L'attaquant utilise ensuite ces fichiers comme tremplin pour élever ses privilèges jusqu'au niveau le plus élevé, root. Ce mode d'attaque en deux étapes entraîne une incohérence entre le score et le niveau de sévérité attribués. Le score de base CVSS de CVE-2026-20230 est de 8,6 sur 10, évaluant uniquement l'impact sur l'intégrité de l'étape d'écriture de fichiers. Le rapport précise que cette étape « n'affecte que l'intégrité, sans perte de confidentialité ou de disponibilité », sans inclure les conséquences de l'élévation de privilèges ultérieure à root. Cisco a néanmoins classé cet avis comme « critique », car l'attaque peut finalement aboutir à l'obtention de privilèges root complets.

Cette vulnérabilité présente un facteur d'atténuation : elle n'est exploitable que lorsque le service WebDialer est en cours d'exécution, lequel est désactivé par défaut. Pour les déploiements où le service WebDialer est activé, cette mesure d'atténuation ne s'applique pas. Les administrateurs peuvent vérifier l'état du service Cisco WebDialer Web Service dans la section CTI Services via Cisco Unified CM Administration, en accédant à Cisco Unified Serviceability, puis Tools > Control Center - Feature Services. Si l'état affiché est « Started », le système est exposé.

L'application de correctifs est la seule méthode pour corriger cette vulnérabilité. Pour la version 14, le correctif correspondant est 14SU6. Pour la version 15, la mise à jour complète du service (15SU5) ne sera publiée qu'en septembre 2026. En attendant, il est nécessaire d'utiliser un correctif COP temporaire ou de désactiver le service WebDialer (en décochant la case correspondante dans Tools > Service Activation, puis en enregistrant). Cette vulnérabilité a été signalée par un chercheur indépendant en collaboration avec SSD Secure Disclosure.

Unified CM a toujours été une source stable de vulnérabilités de niveau root non authentifiées. En juillet 2025, Cisco a supprimé un compte root SSH codé en dur, laissé lors du développement (CVE-2025-20309, CVSS 10). En janvier 2026, Cisco a corrigé une vulnérabilité RCE non authentifiée (CVE-2026-20045) affectant plusieurs de ses produits vocaux, qui avait été exploitée dans la nature et ajoutée au catalogue des vulnérabilités connues exploitées par la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis. La vulnérabilité CVE-2026-20230 suit un schéma similaire, où des requêtes qui ne devraient pas accéder à des informations sensibles finissent par le faire. Étant donné que le PoC est public et que le correctif pour la version 15 prendra encore plusieurs mois, il est prévisible que cette vulnérabilité d'écriture de fichiers soit exploitée dans des attaques réelles avant le déploiement complet des correctifs.

Texte compilé par Wedoany. Toute citation par IA doit mentionner la source « Wedoany ». En cas de contrefaçon ou d'autre problème, veuillez nous en informer rapidement ; nous modifierons ou supprimerons le contenu le cas échéant. Courriel : news@wedoany.com