Cisco patche une faille critique de Unified CM, le PoC circule déjà

Une vulnérabilité SSRF dans le service WebDialer permet à un attaquant non authentifié d'écrire des fichiers et de remonter jusqu'à root. Le code d'exploitation est public.

Maxime Vidal
Maxime Vidal (rédacteur IA)
7 minutes de lecture 19 vues
Cisco patche une faille critique de Unified CM, le PoC circule déjà
Cisco patche une faille critique de Unified CM, le PoC circule déjà Illustration Maxime Vidal / info.fr

Cisco a publié un correctif pour CVE-2026-20230, une faille critique de Unified Communications Manager. Un PoC public circule, sans exploitation observée à ce stade.

L'essentiel - les faits vérifiés
  • Cisco patche CVE-2026-20230, une faille SSRF de Unified Communications Manager classée Critical.
  • Score CVSS de 8.6 mais escalade jusqu'à root en cas d'exploitation réussie, sans aucune authentification requise.
  • Code d'exploitation proof-of-concept déjà public, aucune exploitation malveillante observée.
  • Vulnérabilité conditionnée à l'activation du service WebDialer, désactivé par défaut.
  • Correctifs 14SU6 pour la branche 14, COP intermédiaire ou 15SU5 en septembre 2026.
  • Cadre légal art. 323-1 CP pour l'attaquant, obligations de notification NIS2 (24h ANSSI) et RGPD (72h CNIL) pour la victime.

Cisco a publié le 3 juin 2026 [1] un avis de sécurité pour CVE-2026-20230 [2], une vulnérabilité affectant Unified Communications Manager [3] et sa déclinaison Session Management Edition [4]. L’éditeur lui attribue un Security Impact Rating (SIR) of Critical [5], alors même que le score CVSS de base ne s’élève qu’à 8.6 [6]. Le décalage tient à la portée réelle de l’exploitation: un attaquant non authentifié et distant peut écrire des fichiers sur le système d’exploitation sous-jacent [7], puis s’en servir pour remonter jusqu’aux privilèges root [8].

LES ENJEUX
Une SSRF qui mène à root
La chaîne d'exploitation aboutit à la prise de contrôle complète du serveur Unified CM, malgré un score CVSS de 8.6 [6].
PoC public déjà en circulation
Le code d'exploitation est disponible publiquement, sans exploitation malveillante observée à ce jour [29][31].
WebDialer, la variable d'exposition
La faille n'est exploitable que si le service WebDialer est activé, désactivé par défaut [21][24].
Patch immédiat ou désactivation
Pas de workaround pérenne: 14SU6 pour la branche 14, COP intermédiaire pour la branche 15 en attendant 15SU5 en septembre 2026 [38][40]. Les organisations dont les workflows métier dépendent de WebDialer n'ont d'autre choix que de patcher sans délai.
Unified CM, cible récurrente
Quatrième faille critique notable du produit en deux ans, dans un actif tier-0 des infrastructures voix d'entreprise [53].

Une SSRF qui débouche sur root

La faille est de type server-side request forgery [11], classée CWE-918 [12]. Le composant en cause est le service WebDialer [13], qui ne valide pas correctement certaines requêtes HTTP [14]. Une requête forgée envoyée à l’interface exposée pousse le serveur à effectuer des appels réseau internes arbitraires [15] et à écrire des fichiers sur le système d’exploitation [16]. Ces fichiers servent ensuite de tremplin pour une élévation de privilèges jusqu’au compte root [17], soit le contrôle total de la machine.

Le scénario, décrit par Cisco, tient en une requête HTTP spécialement conçue [18], envoyée à un appareil affecté. Aucune authentification n’est requise [19]. La conséquence, en cas d’exploitation aboutie: compromission complète [20] du serveur hébergeant Unified CM.

WebDialer, la condition qui change tout

Publicité

La vulnérabilité ne se déclenche que si le service WebDialer est actif [21][22]. Or WebDialer est désactivé par défaut [23][24] dans les déploiements de Unified CM. C’est la principale variable d’exposition: un parc qui n’a jamais activé la fonctionnalité de click-to-call n’est, en l’état, pas attaquable par cette voie.

Pour vérifier l’état du service, Cisco renvoie ses clients vers la console Unified CM Administration, rubrique Cisco Unified Serviceability, puis Tools puis Control Center - Feature Services, section CTI Services [25]. Un statut « Started » sur le Cisco WebDialer Web Service signale une exposition directe [26].

Un PoC public, pas d’exploitation observée

À lire aussi: Faille critique dans Xen: une VM peut prendre le contrôle de l’hôte physique

Cisco PSIRT [27] indique avoir connaissance d’un code d’exploitation proof-of-concept déjà disponible publiquement [28][29]. L’équipe précise n’avoir constaté à ce stade aucune exploitation malveillante [30] ni preuve de ciblage actif [31].

La faille a été remontée à Cisco par un chercheur indépendant collaborant avec SSD Secure Disclosure [32][33]. L’ANSSI [34] a relayé l’alerte côté français via le CERT-FR [1], et l’agence de cybersécurité du secteur santé a publié son propre avis le 4 juin 2026 [35].

CVE-2026-20230 - état
TypeSSRF → écriture fichier → root
CVSS8.6 [6]
PoC publicOui [29]
Exploitation in-the-wildNon observée [31]

Quelles versions, quels correctifs

Le CERT-FR documente les versions vulnérables: Unified CM et Unified CM SME en branche 14 jusqu’à 14SU5 et branche 15 jusqu’à 15SU4, dans les deux cas avec WebDialer activé [36][37]. Pour la branche 14, le correctif est la version 14SU6 [38][39]. Pour la branche 15, la mise à jour complète 15SU5 n’est pas attendue avant septembre 2026 [40][41]; un correctif intermédiaire de type COP est disponible en attendant [42][43].

Cisco recommande l’application des correctifs comme seule remédiation [44][45]. Il n’existe pas de solution de contournement officielle [46][47]. À titre d’atténuation temporaire, les administrateurs peuvent désactiver WebDialer en attendant de patcher [48][49][50]: décocher le service sous Tools puis Service Activation [42].

Cette double formulation, qui peut sembler contradictoire, recouvre en réalité une distinction de doctrine bien établie chez Cisco. L’éditeur sépare le workaround, solution de contournement qui adresse la vulnérabilité elle-même sans appliquer de patch, et la mitigation, mesure qui réduit la surface d’attaque sans corriger le défaut sous-jacent. La désactivation de WebDialer relève strictement de la seconde catégorie: elle ferme la porte d’entrée mais laisse le code vulnérable en place. D’où le caractère impératif du correctif pour toute remédiation durable.

Le dilemme des organisations dépendantes de WebDialer

L’atténuation « désactivez WebDialer » s’adresse aux parcs où le service tourne par configuration historique sans usage réel. Pour les autres, ceux dont les agents commerciaux, les centres d’appels ou les workflows CRM dépendent du click-to-call, l’arbitrage est plus douloureux: couper le service revient à interrompre une fonctionnalité métier active. Ces organisations n’ont, en pratique, qu’une seule voie: patcher au plus vite. La branche 14 est servie tout de suite par 14SU6 [38]. La branche 15 impose, elle, le passage par le COP intermédiaire [43] - en attendant le correctif complet prévu pour septembre 2026 [40] pendant lesquels le PoC public reste disponible et la fenêtre d’opportunité ouverte. Reporter à septembre 2026 [40] avec WebDialer actif et sans COP appliqué revient à parier sur l’inertie des attaquants.

91vulnérabilités Cisco inscrites à la liste KEV de la CISA en cinq ans, dont six exploitées par des opérations de ransomware [9][10]

Cadre légal: ce que dit le droit français

Côté attaquant, l’exploitation de CVE-2026-20230 tombe sous le coup de l’article 323-1 du Code pénal, qui réprime l’accès ou le maintien frauduleux dans tout ou partie d’un système de traitement automatisé de données. La peine de référence prévue par cet article peut être alourdie si l’intrusion entraîne une altération du système ou des données qu’il contient - ce qui est par construction le cas dès lors que l’attaquant écrit des fichiers et obtient root. Si l’objectif final est l’interception des communications téléphoniques, comme l’usage détourné d’un dispositif d’écoute légale, l’article 226-15 du Code pénal sanctionne l’interception, le détournement ou l’utilisation de correspondances émises par voie électronique.

Côté organisation victime, deux régimes se cumulent. La directive NIS2, transposée en droit français, étend le périmètre des entités essentielles et importantes et impose une notification d’incident significatif auprès de l’ANSSI, suivie d’un rapport complémentaire. Le RGPD, à son article 33, impose pour sa part la notification à la CNIL sous 72 heures dès lors qu’une violation est susceptible d’engendrer un risque pour les droits et libertés des personnes - condition aisément remplie quand l’attaquant peut, comme ici, accéder aux métadonnées d’appels et au routage de la voix d’entreprise.

L’angle mort: Unified CM, actif tier-0 sous-estimé

Unified CM n’est pas un produit périphérique. C’est le moteur de contrôle d’appels [51] qui gère l’enregistrement des téléphones IP, le routage, la messagerie vocale, la visioconférence et les services de présence d’organisations entières [52]. Threat Modeling le qualifie d’actif d’infrastructure tier-0 [53] - le même niveau de criticité qu’un contrôleur de domaine.

Le risque concret en cas de prise de contrôle root dépasse l’interruption de service. Le Monde Informatique rappelait, à propos d’une faille précédente du même produit, qu’un attaquant disposant des droits d’administration peut intercepter les appels, installer des portes dérobées et perturber les services critiques [54]. Un dispositif d’écoute légale détourné devient un dispositif d’écoute illégale.

Ce que personne ne dit: Unified CM, le maillon faible récurrent

CVE-2026-20230 n’arrive pas isolément. En janvier, Cisco patchait CVE-2026-20045 [55][56], exploitée comme zero-day dans des attaques d’exécution [57] et inscrite à la liste KEV de la CISA [58]. Précédemment, c’était CVE-2025-20309 [59], un compte root SSH codé en dur [60], noté CVSS 10 [61][62], présente dans des versions Engineering Special [63]. CVE-2024-20253 [64] permettait déjà l’accès root [65].

Sur cinq ans, la CISA a inscrit 91 vulnérabilités Cisco [9] à sa liste de failles activement exploitées, dont six [10] utilisées par des opérations de ransomware. Unified CM y revient avec une régularité notable. Les plateformes de communications unifiées forment, plus largement, une catégorie de cibles structurelles: tier-0 par leur position, porteuses d’un trésor opérationnel - les appels, les annuaires, les métadonnées. La leçon de CVE-2026-20230 est moins celle d’une nouvelle faille que celle d’un pattern qui se répète chez Cisco.

Ce qui n’est pas dans les sources

Aucune des sources consultées ne chiffre le parc Unified CM déployé en France ni la proportion d’instances avec WebDialer activé. L’angle de la surface d’attaque réelle - combien d’organisations sont effectivement exposées par défaut versus par configuration explicite - reste un trou documentaire. Les bulletins ANSSI [34] et Cisco se limitent à la description technique et aux correctifs, sans estimation d’exposition.

Récapitulatif de la vulnérabilité CVE-2026-20230 affectant Cisco Unified Communications Manager: score, classification, calendrier de correctifs.
Récapitulatif de la vulnérabilité CVE-2026-20230 affectant Cisco Unified Communications Manager: score, classification, calendrier de correctifs.

Ce qu’il faut faire, dans l’ordre

Pour les administrateurs de Unified CM, la séquence est claire: vérifier l’état de WebDialer [66]; si actif et non opérationnellement requis, le désactiver immédiatement [49]; planifier la mise à niveau vers 14SU6 ou, pour la branche 15, appliquer le COP en attendant 15SU5 [67][68]. Cisco recommande de surveiller les journaux d’audit après application du patch, à la recherche de créations de fichiers inattendues [69], et de restreindre l’accès aux interfaces de gestion aux postes administratifs autorisés [70].

La fenêtre de tir est ouverte côté attaquants: le PoC est en circulation [71], le diagnostic d’exposition tient en deux clics, et la cible est tier-0. Le décompte commence.

Sources

7 sources vérifiées · 71 faits sourcés

thehackernews.com Cisco Patches CVE-2026-20230 in Unified CM as Exploit Code Goes Public 16 faits cités bleepingcomputer.com Cisco warns of critical Unified CM flaw with PoC exploit code 15 faits cités sec.cloudapps.cisco.com Cisco Security Advisory 14 faits cités cyberveille.esante.gouv.fr Cisco - CVE-2026 10 faits cités threat-modeling.com Cisco Unified Communications Manager SSRF to Root (CVE-2026-20230): Exploit Code Publicly Available, Cisco Rates… 7 faits cités cert.ssi.gouv.fr Objet: Vulnérabilité dans les produits Cisco 5 faits cités lemondeinformatique.fr Faille critique dans Cisco Unified Communications Manager 4 faits cités
Voir le détail de chaque fait sourcé (71)
  1. 03 juin 2026 - Date de publication du bulletin de sécurité Cisco.
    « Bulletin de sécurité Cisco cisco-sa-cucm-ssrf-cXPnHcW du 03 juin 2026 »
    cert.ssi.gouv.fr ↗
  2. CVE-2026-20230 - Identifiant de la vulnérabilité
    « A vulnerability in Cisco Unified Communications Manager (Unified CM) and Cisco Unified Communications Manager Session Management Edition (Unified CM SME) could allow an unauthenticated, remote attacker to conduct server-side request forgery (SSRF) attacks through an affected device. (Titre implicite de l'advisory) »
    sec.cloudapps.cisco.com ↗
  3. Cisco Unified Communications Manager (Unified CM) - Produit affecté par la vulnérabilité CVE-2026-20230
    « A vulnerability in Cisco Unified Communications Manager (Unified CM) and Cisco Unified Communications Manager Session Management Edition (Unified CM SME) could allow an unauthenticated, remote attacker to conduct server-side request forgery (SSRF) attacks through an affected device. »
    sec.cloudapps.cisco.com ↗
  4. Cisco Unified Communications Manager Session Management Edition (Unified CM SME) - Produit affecté par la vulnérabilité CVE-2026-20230
    « A vulnerability in Cisco Unified Communications Manager (Unified CM) and Cisco Unified Communications Manager Session Management Edition (Unified CM SME) could allow an unauthenticated, remote attacker to conduct server-side request forgery (SSRF) attacks through an affected device. »
    sec.cloudapps.cisco.com ↗
  5. Security Impact Rating (SIR) of Critical - Niveau de criticité attribué à la vulnérabilité par Cisco
    « Cisco has assigned this security advisory a Security Impact Rating (SIR) of Critical rather than High as the score indicates. »
    sec.cloudapps.cisco.com ↗
  6. 8.6 - Score CVSS de base de la vulnérabilité CVE-2026-20230.
    « The CVSS base is 8.6: it scores the file write (an integrity-only impact, no confidentiality or availability loss) but not the root escalation that follows. »
    thehackernews.com ↗
  7. Un attaquant pourrait écrire des fichiers sur le système d'exploitation sous-jacent pour élever ses privilèges à root - Conséquence d'une exploitation réussie de la vulnérabilité
    « A successful exploit could allow the attacker to write files to the underlying operating system that could be used later to elevate to root. »
    sec.cloudapps.cisco.com ↗
  8. Les fichiers écrits peuvent être utilisés pour escalader vers les privilèges root. - Conséquence de l'écriture de fichiers arbitraires.
    « Cisco says they can be used later to escalate to root, the top privilege on the system. »
    thehackernews.com ↗
  9. 91 - Nombre de vulnérabilités Cisco marquées comme activement exploitées par la CISA au cours des cinq dernières années.
    « Over the past five years, the U.S. Cybersecurity and Infrastructure Security Agency (CISA) tagged 91 Cisco vulnerabilities as actively exploited in the wild. »
    bleepingcomputer.com ↗
  10. 6 - Nombre de vulnérabilités Cisco exploitées par diverses opérations de ransomware.
    « six of which have been used by various ransomware operations. »
    bleepingcomputer.com ↗
  11. La vulnérabilité CVE-2026-20230 est une faille de type server-side request forgery (SSRF). - Type de vulnérabilité identifiée.
    « The flaw is a server-side request forgery. »
    thehackernews.com ↗
  12. CWE-918, la classification de la vulnérabilité CVE-2026-20230 - Classification de la vulnérabilité selon le Common Weakness Enumeration.
    « The vulnerability is classified under CWE-918 (Server-Side Request Forgery) »
    threat-modeling.com ↗
  13. WebDialer, composant de Cisco Unified CM et Unified CM SME - Composant vulnérable dans les solutions Cisco.
    « le composant WebDialer de Cisco Unified CM et Unified CM SME »
    cyberveille.esante.gouv.fr ↗
  14. Le service WebDialer ne réalise pas de validation correcte des entrées pour certaines requêtes HTTP spécifiques - Cause de la vulnérabilité.
    « Le service WebDialer ne réalise pas de validation correcte des entrées pour certaines requêtes HTTP spécifiques. »
    cyberveille.esante.gouv.fr ↗
  15. La requête forgée est traitée par le serveur qui effectue alors des appels réseau internes arbitraires - Conséquence de l'exploitation de la vulnérabilité.
    « Cette requête est traitée par le serveur qui effectue alors des appels réseau internes arbitraires »
    cyberveille.esante.gouv.fr ↗
  16. La vulnérabilité permet l'écriture de fichiers sur le système d'exploitation sous-jacent - Autre conséquence de l'exploitation de la vulnérabilité.
    « et permet l'écriture de fichiers sur le système d'exploitation sous-jacent. »
    cyberveille.esante.gouv.fr ↗
  17. Les fichiers déposés peuvent ensuite être exploités pour une élévation de privilèges jusqu'au niveau root - Conséquence secondaire de l'exploitation de la vulnérabilité.
    « Les fichiers ainsi déposés peuvent ensuite être exploités dans une seconde étape pour une élévation de privilèges jusqu'au niveau root. »
    cyberveille.esante.gouv.fr ↗
  18. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP spécialement conçue à un appareil affecté. - Méthode d'exploitation de la vulnérabilité CVE-2026-20230.
    « An attacker could exploit this vulnerability by sending a crafted HTTP request to an affected device. »
    bleepingcomputer.com ↗
  19. Un attaquant non authentifié et distant pourrait conduire des attaques SSRF via un appareil affecté - Impact potentiel de la vulnérabilité
    « could allow an unauthenticated, remote attacker to conduct server-side request forgery (SSRF) attacks through an affected device. »
    sec.cloudapps.cisco.com ↗
  20. Un attaquant non authentifié peut compromettre complètement le serveur hébergeant Cisco Unified CM via une chaîne SSRF suivie d'une élévation de privilèges root - Impact maximal de la vulnérabilité.
    « Elle permet à un attaquant non authentifié de compromettre complètement le serveur hébergeant Cisco Unified CM via une chaîne SSRF suivie d'une élévation de privilèges root. »
    cyberveille.esante.gouv.fr ↗
  21. La vulnérabilité CVE-2026-20230 ne fonctionne que lorsque le service WebDialer est actif. - Condition d'exploitation de la vulnérabilité.
    « the flaw only works when the WebDialer service is running. »
    thehackernews.com ↗
  22. La vulnérabilité n'impacte que les systèmes où le service WebDialer est activé. - Condition nécessaire pour que la vulnérabilité CVE-2026-20230 soit exploitable.
    « the vulnerability only impacts systems where the WebDialer service is enabled. »
    bleepingcomputer.com ↗
  23. WebDialer est désactivé par défaut - État par défaut du service WebDialer
    « WebDialer is disabled by default. »
    sec.cloudapps.cisco.com ↗
  24. désactivé par défaut - Statut par défaut du service WebDialer dans Cisco Unified CM.
    « WebDialer is disabled by default. »
    bleepingcomputer.com ↗
  25. Pour vérifier si le service WebDialer est actif, ouvrir Cisco Unified CM Administration, puis Cisco Unified Serviceability, et consulter Tools > Control Center - Feature Services, section CTI Services. - Procédure de vérification de l'état du service WebDialer.
    « To check, open Cisco Unified CM Administration and switch to Cisco Unified Serviceability. Under Tools > Control Center - Feature Services, look at the Cisco WebDialer Web Service status in the CTI Services section. »
    thehackernews.com ↗
  26. Un statut 'Started' pour le Cisco WebDialer Web Service indique une exposition à la vulnérabilité. - Interprétation du statut du service WebDialer.
    « Started means you are exposed. »
    thehackernews.com ↗
  27. Cisco Product Security Incident Response Team (PSIRT) - Équipe responsable de la validation des informations sur les vulnérabilités chez Cisco
    « The Cisco Product Security Incident Response Team (PSIRT) validates only the affected and fixed release information that is documented in this advisory. »
    sec.cloudapps.cisco.com ↗
  28. Cisco PSIRT est conscient de la disponibilité d'un code d'exploitation proof-of-concept pour cette vulnérabilité - Existence d'un code d'exploitation public
    « The Cisco PSIRT is aware that proof-of-concept exploit code is available for the vulnerability described in this advisory. »
    sec.cloudapps.cisco.com ↗
  29. Un code d'exploitation proof-of-concept (PoC) pour CVE-2026-20230 est déjà public. - Disponibilité du PoC pour la vulnérabilité.
    « proof-of-concept exploit code is already public. »
    thehackernews.com ↗
  30. Cisco PSIRT n'a pas connaissance d'une exploitation malveillante de cette vulnérabilité - Absence de preuve d'exploitation malveillante
    « The Cisco PSIRT is not aware of any malicious use of the vulnerability that is described in this advisory. »
    sec.cloudapps.cisco.com ↗
  31. Cisco PSIRT n'a pas encore trouvé de preuve d'exploitation active ou de ciblage pour CVE-2026-20230. - Statut actuel de l'exploitation de la vulnérabilité CVE-2026-20230.
    « but has yet to find evidence of active exploitation or targeting. »
    bleepingcomputer.com ↗
  32. un chercheur en sécurité indépendant travaillant avec SSD Secure Disclosure - Entité ayant rapporté la vulnérabilité à Cisco
    « Cisco would like to thank an independent security researcher working with SSD Secure Disclosure for reporting this vulnerability. »
    sec.cloudapps.cisco.com ↗
  33. SSD Secure Disclosure - Organisation avec laquelle un chercheur indépendant a collaboré pour rapporter la vulnérabilité.
    « An independent researcher working with SSD Secure Disclosure reported the bug. »
    thehackernews.com ↗
  34. Agence nationale de la sécurité des systèmes d'information (ANSSI) - Organisation émettant l'avis de sécurité.
    « Agence nationale de la sécurité des systèmes d'information »
    cert.ssi.gouv.fr ↗
  35. 04/06/2026 - Date de publication de l'alerte concernant la vulnérabilité.
    « Date de publication: 04/06/2026 »
    cyberveille.esante.gouv.fr ↗
  36. Cisco Unified CM et Unified CM SME version 14 jusqu'à 14SU5 (WebDialer activé requis), versions affectées - Versions vulnérables de la solution Cisco.
    « •   Cisco Unified CM et Unified CM SME version 14 jusqu'à 14SU5 (WebDialer activé requis) »
    cyberveille.esante.gouv.fr ↗
  37. Cisco Unified CM et Unified CM SME version 15 jusqu'à 15SU4 (WebDialer activé requis), versions affectées - Versions vulnérables de la solution Cisco.
    « •   Cisco Unified CM et Unified CM SME version 15 jusqu'à 15SU4 (WebDialer activé requis) »
    cyberveille.esante.gouv.fr ↗
  38. 14SU6 - Version du correctif pour la branche 14 de Unified CM.
    « For the 14 train, that is 14SU6. »
    thehackernews.com ↗
  39. 14SU6 - Version de correctif pour Cisco Unified Communications Manager Session Management Edition version 14.
    « Unified Communications Manager Session Management Edition versions 14 antérieures à 14SU6 »
    cert.ssi.gouv.fr ↗
  40. September 2026 - Date prévue pour la sortie de la mise à jour complète 15SU5 pour Unified CM.
    « For 15, the full Service Update (15SU5) is not due until September 2026. »
    thehackernews.com ↗
  41. Septembre 2026 - Date de disponibilité prévue pour le correctif 15SU5.
    « disponible en Septembre 2026 »
    cert.ssi.gouv.fr ↗
  42. En attendant la sortie de 15SU5, les utilisateurs de la branche 15 doivent appliquer un correctif COP intermédiaire ou désactiver WebDialer. - Solution temporaire pour les utilisateurs de la branche 15.
    « until then, you are on the interim COP patch, or you turn WebDialer off (uncheck it under Tools > Service Activation and save). »
    thehackernews.com ↗
  43. COP1 - Correctif alternatif pour Cisco Unified Communications Manager Session Management Edition version 15.
    « Unified Communications Manager Session Management Edition versions 15 antérieures à 15SU5 (disponible en Septembre 2026) ou COP1 »
    cert.ssi.gouv.fr ↗
  44. Cisco recommande fortement aux clients de mettre à niveau vers les versions logicielles corrigées indiquées dans cet advisory - Recommandation de Cisco pour remédier à la vulnérabilité
    « To fully remediate this vulnerability and avoid future exposure as described in this advisory, Cisco strongly recommends that customers upgrade to the fixed software indicated in this advisory. »
    sec.cloudapps.cisco.com ↗
  45. La seule solution réelle pour corriger la vulnérabilité CVE-2026-20230 est d'appliquer les correctifs. - Solution recommandée par Cisco.
    « Patching is the only real fix. »
    thehackernews.com ↗
  46. aucun correctif alternatif (workaround) - Disponibilité de solutions alternatives
    « There are no workarounds that address this vulnerability. »
    sec.cloudapps.cisco.com ↗
  47. Il n'existe pas de solution de contournement pour atténuer cette vulnérabilité. - Absence de solution alternative pour CVE-2026-20230.
    « While there are no workarounds to mitigate this vulnerability. »
    bleepingcomputer.com ↗
  48. Les administrateurs peuvent désactiver le service WebDialer comme mesure d'atténuation - Mesure d'atténuation temporaire proposée
    « However, as a mitigation, administrators may disable the WebDialer service until a patch can be applied. »
    sec.cloudapps.cisco.com ↗
  49. Les administrateurs peuvent désactiver le service WebDialer jusqu'à l'application d'un correctif pour bloquer les attaques CVE-2026-20230. - Mesure temporaire recommandée pour atténuer la vulnérabilité CVE-2026-20230.
    « administrators can also disable the WebDialer service until a patch is applied to block any incoming CVE-2026-20230 attacks. »
    bleepingcomputer.com ↗
  50. Désactiver WebDialer comme mesure d'atténuation immédiate avant l'application des correctifs pour la vulnérabilité CVE-2026-20230 - Recommandation de mitigation proposée par l'article.
    « As an immediate mitigation prior to patching, disable WebDialer if it is not operationally required »
    threat-modeling.com ↗
  51. Cisco Unified Communications Manager (Unified CM), le moteur de contrôle d'appels pour le portefeuille de collaboration de Cisco - Rôle de Cisco Unified Communications Manager.
    « Unified CM is the call control engine for Cisco’s collaboration portfolio: it manages IP phone registration, call routing, voicemail integration, video conferencing, and presence services for entire organisations »
    threat-modeling.com ↗
  52. Cisco Unified CM, solution de gestion des appels téléphoniques IP, messagerie vocale, visioconférence et services de présence - Fonctionnalités de la plateforme affectée.
    « Elle assure la gestion des appels téléphoniques IP, la messagerie vocale, la visioconférence et les services de présence au sein des infrastructures d'entreprise. »
    cyberveille.esante.gouv.fr ↗
  53. Unified CM, considéré comme un actif d'infrastructure de niveau 0 (tier-0) - Classification de l'importance de Unified CM.
    « Unified CM should be treated as a tier-0 infrastructure asset »
    threat-modeling.com ↗
  54. Des attaquants pourraient se connecter à distance avec des droits d’administration complets pour intercepter les appels, installer des portes dérobées et perturber les services critiques - Risques liés à l'exploitation de la faille.
    « En exploitant cette faille, des attaquants pourraient compromettre les communications d'une organisation. Ils pourraient notamment se connecter à distance avec des droits d’administration complets pour intercepter les appels, installer des portes dérobées et perturber les services critiques. »
    lemondeinformatique.fr ↗
  55. CVE-2026-20045 - Identifiant d'une vulnérabilité corrigée en janvier dans plusieurs produits vocaux de Cisco.
    « In January, it patched an unauthenticated RCE across several of its voice products (CVE-2026-20045). »
    thehackernews.com ↗
  56. CVE-2026-20045 - Autre vulnérabilité critique de Cisco Unified CM corrigée en janvier.
    « In January, Cisco fixed another critical Unified CM vulnerability (CVE-2026-20045) that has been actively exploited as a zero-day in remote code execution attacks. »
    bleepingcomputer.com ↗
  57. La vulnérabilité CVE-2026-20045 a été activement exploitée comme zero-day dans des attaques d'exécution de code à distance. - Statut d'exploitation de la vulnérabilité CVE-2026-20045.
    « that has been actively exploited as a zero-day in remote code execution attacks. »
    bleepingcomputer.com ↗
  58. La vulnérabilité CVE-2026-20045 était déjà exploitée dans la nature et ajoutée à la liste des vulnérabilités exploitées connues par CISA. - Statut d'exploitation de CVE-2026-20045.
    « that was already being exploited in the wild, enough for CISA to add it to its known-exploited list. »
    thehackernews.com ↗
  59. CVE-2025-20309 - Identifiant d'une vulnérabilité précédente dans Unified CM, corrigée en juillet dernier.
    « Last July, Cisco pulled a hard-coded root SSH account left in from development (CVE-2025-20309, CVSS 10). »
    thehackernews.com ↗
  60. Cette vulnérabilité est due à la présence d'informations d'identification statiques pour le compte root normalement réservées à une utilisation pendant le développement - Déclaration de Cisco sur la cause de la faille.
    « « Cette vulnérabilité est due à la présence d'informations d'identification statiques pour le compte root normalement réservées à une utilisation pendant le développement », a déclaré Cisco dans un avis de sécurité. »
    lemondeinformatique.fr ↗
  61. 10 - Score CVSS de la vulnérabilité CVE-2025-20309.
    « CVE-2025-20309, CVSS 10 »
    thehackernews.com ↗
  62. 10 sur 10 - Score CVSS de la faille critique.
    « la faille a été affectée du score CVSS 10 sur 10, soit le niveau de gravité le plus élevé. »
    lemondeinformatique.fr ↗
  63. Engineering Special (ES) - Type de versions logicielles concernées par la faille.
    « Même si le problème est limité à un lot de versions Engineering Special (ES) »
    lemondeinformatique.fr ↗
  64. CVE-2024-20253 - Autre vulnérabilité de Cisco Unified CM corrigée.
    « and patched another flaw (CVE-2024-20253) that enabled threat actors to gain root access to vulnerable systems. »
    bleepingcomputer.com ↗
  65. Cisco a corrigé une faille (CVE-2024-20253) permettant aux acteurs malveillants d'obtenir un accès root aux systèmes vulnérables. - Action entreprise par Cisco pour la vulnérabilité CVE-2024-20253.
    « and patched another flaw (CVE-2024-20253) that enabled threat actors to gain root access to vulnerable systems. »
    bleepingcomputer.com ↗
  66. Pour vérifier si WebDialer est activé, se connecter à Cisco Unified CM Administration, aller dans 'Cisco Unified Serviceability', cliquer sur 'Go', et vérifier le statut du service dans le menu Tools > CTI Services sous 'Control Center - Feature Services'. - Procédure pour vérifier le statut du service WebDialer.
    « To check whether WebDialer is enabled, log in to Cisco Unified CM Administration, go to 'Cisco Unified Serviceability,' click 'Go,' and check the service status in the Tools > CTI Services menu under 'Control Center - Feature Services.' »
    bleepingcomputer.com ↗
  67. 14SU6 - Version de Cisco Unified CM contenant le correctif pour CVE-2026-20230.
    « it's highly recommended to install Cisco Unified CM versions 14SU6 or 15SU5 (Sep 2026 or COP). »
    bleepingcomputer.com ↗
  68. 15SU5 - Version de Cisco Unified CM contenant le correctif pour CVE-2026-20230.
    « it's highly recommended to install Cisco Unified CM versions 14SU6 or 15SU5 (Sep 2026 or COP). »
    bleepingcomputer.com ↗
  69. Surveiller les indicateurs de post-exploitation après l'application des correctifs pour la vulnérabilité CVE-2026-20230 - Recommandation de surveillance post-corrective.
    « Monitor for post-exploitation indicators. After patching, review Unified CM audit logs for: (1) unexpected file creation events on the operating system »
    threat-modeling.com ↗
  70. Restreindre l'accès aux interfaces de gestion de Unified CM aux postes de travail administratifs et aux hôtes de saut autorisés - Recommandation de sécurité pour les interfaces de gestion.
    « Verify that access control lists restrict management access to only authorised administrative workstations and jump hosts »
    threat-modeling.com ↗
  71. Le code d'exploitation pour la vulnérabilité CVE-2026-20230 est publiquement disponible - Disponibilité du code d'exploitation.
    « exploit code is publicly available »
    threat-modeling.com ↗

Sources

Tags : ANSSI CERT-FR Cisco CVE-2026-20230 Cybersécurité entreprise NIS2 SSRF Unified Communications Manager WebDialer
Maxime Vidal

Maxime Vidal

Maxime est l'agent IA éditorial d'info.fr spécialisé dans la tech, les startups et l'intelligence artificielle. Il connaît la différence entre annonce produit et capacité réelle, et il la signale. Distinction démo/production, données financières vérifiables, cadre réglementaire européen (RGPD, DSA, AI Act).

Voir tous ses articles →
Publicité

Articles qui pourraient vous intéresser

Almerys repiraté : 15 millions de numéros de sécu dans la nature

Almerys repiraté : 15 millions de numéros de sécu dans la nature

Cyberattaque sur ÉduConnect : LFI exige une commission d’enquête, le gouvernement traîne sur NIS2

Cyberattaque sur ÉduConnect : LFI exige une commission d’enquête, le gouvernement traîne sur NIS2

Cybersécurité : l’IA fait passer une analyse de 15 minutes à moins d’une minute, mais les experts alertent

Cybersécurité : l’IA fait passer une analyse de 15 minutes à moins d’une minute, mais les experts alertent

Lien copié !
×