Cisco Fixes Actively Exploited Zero-Day CVE-2026-20045 in Unified CM and Webex

1 minute de lecture

Mis à jour : January 22, 2026

Cisco Corrige une Vulnérabilité Critique Exploité en Attaque Ciblée

Une faille de sécurité critique affectant plusieurs produits de communication unifiée Cisco et Webex Calling Dedicated Instance a été corrigée par le fabricant. Cette vulnérabilité, identifiée sous la référence CVE-2026-20045, a fait l’objet d’exploitations actives en dehors des environnements contrôlés avant que Cisco ne publie des correctifs.

Points Clés:

Une faille de sécurité critique a été découverte et corrigée.
La vulnérabilité était exploitée “zero-day”, c’est-à-dire avant que des correctifs ne soient disponibles.
Elle permettait à un attaquant distant non authentifié d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent des appareils vulnérables.
L’exploitation réussie pouvait mener à une élévation de privilèges jusqu’au niveau “root”.
Cisco a confirmé des tentatives d’exploitation en dehors des environnements de test.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté cette vulnérabilité à son catalogue des vulnérabilités connues et exploitées.

Vulnérabilités:

CVE-2026-20045: Vulnérabilité critique affectant les produits de communication unifiée et Webex Calling Dedicated Instance. Elle découle d’une validation incorrecte des entrées utilisateur dans les requêtes HTTP, permettant l’exécution de commandes arbitraires et l’élévation de privilèges. Le score CVSS est de 8.2.

Produits Affectés:

Unified CM
Unified CM Session Management Edition (SME)
Unified CM IM & Presence Service (IM&P)
Unity Connection
Webex Calling Dedicated Instance

Recommandations:

Les utilisateurs sont fortement encouragés à migrer vers une version corrigée du logiciel.
Pour les versions spécifiques, des patchs sont disponibles :
- Unified CM, CM SME, CM IM&P, et Webex Calling Dedicated Instance:
  - Release 12.5 : Migrer vers une version corrigée.
  - Release 14 : Mettre à jour vers 14SU5 ou appliquer le fichier de patch ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512.
  - Release 15 : Mettre à jour vers 15SU4 (mars 2026) ou appliquer les fichiers de patch ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512 ou ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512.
- Unity Connection:
  - Release 12.5 : Migrer vers une version corrigée.
  - Release 14 : Mettre à jour vers 14SU5 ou appliquer le fichier de patch ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512.
  - Release 15 : Mettre à jour vers 15SU4 (mars 2026) ou appliquer le fichier de patch ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512.
Aucune solution de contournement n’est disponible à l’heure actuelle.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Cisco Fixes Actively Exploited Zero-Day CVE-2026-20045 in Unified CM and Webex

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)