Urgence cybersécurité : CISA ordonne le correctif de failles critiques exploitées

La CISA a placé deux vulnérabilités critiques dans son catalogue des vulnérabilités exploitées (KEV), imposant aux agences fédérales américaines une correction d’ici le 28 juin.

Points clés

• Cisco Unified Communications Manager : Une vulnérabilité est activement utilisée pour écrire des fichiers texte arbitraires sur les systèmes cibles.
• PTC Windchill et FlexPLM : Une faille de type exécution de code à distance (RCE) affecte les logiciels de gestion du cycle de vie des produits (PLM) largement utilisés dans l’industrie.

Vulnérabilités identifiées

• CVE-2026-20230 : Faille de type Server-Side Request Forgery (SSRF) dans Cisco Unified Communications Manager. Permet une exploitation distante sans authentification via des requêtes HTTP spécifiquement forgées.
• CVE-2026-12569 : Faille critique de validation d’entrée inadéquate dans PTC Windchill et FlexPLM, conduisant à une exécution de code à distance (RCE) par désérialisation de données non fiables.

Recommandations

• Application immédiate des correctifs : Appliquer sans délai les mises à jour de sécurité fournies par Cisco et PTC.
• Audit des versions : Vérifier les versions installées de Windchill et FlexPLM (le risque couvre toutes les versions jusqu’à 11.0 et plusieurs branches des versions 11.x, 12.x et 13.0).
• Alternative : En cas d’impossibilité de mise à jour immédiate, les organismes concernés par la directive BOD 26-04 sont invités à cesser l’utilisation des produits vulnérables jusqu’à leur remédiation.

Source