Le service Webex basé sur le cloud a déjà été corrigé, mais les administrateurs doivent remplacer un certificat de fournisseur d’identité dans Webex Control Hub pour terminer le correctif.
Les administrateurs qui utilisent les services Cisco Webex configurés pour utiliser des ancres de confiance dans l’intégration SSO avec Control Hub doivent installer un nouveau certificat de fournisseur d’identité pour fermer une vulnérabilité critique, sous peine de perdre le contrôle d’accès.
Cisco a déclaré dans un avis cette semaine que les administrateurs doivent télécharger un nouveau certificat SAML de fournisseur d’identité (IdP) sur Webex Control Hub, le portail de gestion Web où les administrateurs informatiques peuvent contrôler tous les services Cisco Webex, y compris la gestion des certificats, les réunions, la messagerie et les appels. Ne pas combler cette faille permettra à un attaquant distant non authentifié de se faire passer pour n’importe quel utilisateur du service.
La vulnérabilité, CVE-2026-20184, a un score CVSS de 9,8.
Parce que Webex est un service cloud, Cisco peut, et a déjà, corrigé son côté de l’application. Mais les administrateurs utilisant l’authentification unique (SSO) doivent toujours installer le nouveau certificat. Il n’existe aucune solution de contournement.
Un article du support Webex sur la gestion de l’intégration SSO indique que les informations sur les certificats se trouvent dans le centre d’alertes Webex Control Hub, où les clients peuvent voir lesquels sont installés et leur statut. Le Control Hub contient également un assistant SSO pour faciliter la mise à jour des certificats. L’article contient des détails étape par étape sur le processus.
Invité à commenter et à obtenir plus de détails sur la vulnérabilité, un porte-parole de Cisco n’est pas allé au-delà de l’avis. « Cisco a publié un avis de sécurité révélant une vulnérabilité dans l’intégration de l’authentification unique avec Control Hub dans les services Cisco Webex », a déclaré le porte-parole. « Au moment de la publication (15 avril), Cisco avait corrigé la vulnérabilité et n’avait connaissance d’aucune utilisation malveillante de cette vulnérabilité. Les clients concernés doivent mettre à jour leur certificat SAML pour garantir des services ininterrompus. «
L’analyste de Gartner, Peter Firstbrook, a noté dans un e-mail que, depuis que Cisco a appliqué le correctif au service cloud, il s’agit davantage d’un changement de configuration. Mais cela ne minimise pas les dégâts possibles. « Bien que nous ne soyons pas au courant d’exploits utilisant cette vulnérabilité, les utilisateurs peuvent perdre l’accès SSO à Webex sans ce changement », a-t-il déclaré.
« Cela illustre une tendance plus large selon laquelle la gestion des identités et des accès constitue le périmètre de l’entreprise », a-t-il ajouté, « et la majorité des attaques incluent un composant de gestion des identités et des accès. Les RSSI doivent se concentrer davantage sur l’hygiène de l’IAM, d’autant plus que l’informatique agentique s’accélère. »
Correctifs critiques supplémentaires
La faille Webex est l’une des trois vulnérabilités critiques identifiées par Cisco et publiées par des correctifs cette semaine. En outre, plusieurs vulnérabilités doivent être corrigées dans Cisco Identity Services Engine (ISE) et Cisco ISE Passive Identity Connector (ISE-PIC).
Ces failles (CVE-2026-20147 et CVE-2026-20148, qui affichent des scores CVSS de 9,9) pourraient permettre à un attaquant distant authentifié d’exécuter du code à distance ou de mener des attaques par traversée de chemin sur un appareil affecté. Pour exploiter ces vulnérabilités, l’attaquant doit disposer d’informations d’identification administratives valides et envoyer une requête HTTP contrefaite à un appareil concerné. Il n’existe aucune solution de contournement.
Par ailleurs, deux autres vulnérabilités ont été découvertes dans ISE, qui pourraient conduire à l’exécution de code à distance sur le système d’exploitation sous-jacent d’un appareil concerné. Pour exploiter ces vulnérabilités (CVE-2026-20180 et CVE-2026-20186), l’attaquant n’aurait besoin que d’informations d’identification d’administrateur en lecture seule.
