Exploitation active de la faille critique dans Cisco Unified CM

Des attaquants exploitent activement une vulnérabilité critique affectant Cisco Unified Communications Manager (Unified CM) et Unified CM Session Management Edition (Unified CM SME). La faille permet à un attaquant non authentifié d’écrire des fichiers arbitraires sur le système d’exploitation cible, facilitant ainsi une élévation de privilèges vers le compte root.

Points clés

• Nature de l’attaque : La vulnérabilité découle d’une validation insuffisante des entrées dans les requêtes HTTP, permettant une attaque de type SSRF (Server-Side Request Forgery).
• État de la menace : Des preuves d’exploitation active via des preuves de concept (PoC) diffusées publiquement ont été constatées.
• Prérequis : L’attaque nécessite que le service « WebDialer » soit activé (il est désactivé par défaut).

Vulnérabilité

• CVE-2026-20230 : Score CVSS de 8.6. Faille d’écriture de fichiers arbitraires via le composant WebDialer, pouvant mener à une exécution de code à distance (RCE).

Recommandations

• Mise à jour immédiate : Appliquer les correctifs disponibles dans les versions Unified CM et Unified CM SME 14SU6 et 15SU5.
• Atténuation temporaire : Si la mise à jour n’est pas réalisable immédiatement, désactivez le service « Cisco WebDialer Web Service ».
  • Procédure : Accédez à l’interface d’administration > Cisco Unified Serviceability > Tools > Control Center - Feature Services > Section « CTI Services » > Vérifiez le statut du service « Cisco WebDialer Web Service ».

Source