La faille RCE permet aux attaquants distants de s’implanter sur les systèmes affectés sans interaction de l’utilisateur. Cisco a publié plusieurs fichiers de correctifs spécifiques à la version, mais n’offre aucun correctif pour la version 12.5, car CISA prévient que le bug présente un risque important pour les réseaux d’entreprise.
Cisco a publié des correctifs pour une vulnérabilité critique d’exécution de code à distance dans ses produits de communications unifiées que les attaquants exploitent activement. L’Agence américaine de cybersécurité et de sécurité des infrastructures a ajouté la faille à son catalogue de vulnérabilités exploitées connues, confirmant l’exploitation.
Cisco a divulgué CVE-2026-20045 ainsi que des correctifs pour Unified Communications Manager, Unity Connection et Webex Calling Dedicated Instance. La société a attribué à la vulnérabilité une note de gravité « Critique » malgré son score CVSS de 8,2.
« Cisco a attribué à cet avis de sécurité une note d’impact sur la sécurité (SIR) critique plutôt qu’élevée, comme l’indique le score », a indiqué la société dans son avis. « La raison en est que l’exploitation de cette vulnérabilité pourrait amener un attaquant à élever ses privilèges au niveau root. »
L’ajout par CISA de la vulnérabilité à son catalogue KEV confirme que les attaquants l’exploitent de manière sauvage. « Ce type de vulnérabilité est un vecteur d’attaque fréquent pour les cyber-acteurs malveillants et présente des risques importants pour l’entreprise fédérale », a déclaré la CISA dans son alerte.
Il s’agit de la deuxième vulnérabilité Cisco activement exploitée que CISA a ajoutée à son catalogue KEV ces dernières semaines. La semaine dernière, l’agence a ajouté le CVE-2025-20393, affectant le logiciel AsyncOS de Cisco.
« Les autres produits de collaboration, notamment Contact Center Enterprise, Emergency Responder, Finesse, Unified Intelligence Center et Unified Contact Center Express, ne sont pas vulnérables à CVE-2026-20045 », ajoute l’avis.
Compromis au niveau racine sans interaction de l’utilisateur
La vulnérabilité provient d’une validation incorrecte des entrées fournies par l’utilisateur dans les requêtes HTTP. « Un attaquant pourrait exploiter cette vulnérabilité en envoyant une séquence de requêtes HTTP contrefaites à l’interface de gestion Web d’un appareil concerné », a expliqué Cisco dans l’avis. « Un exploit réussi pourrait permettre à l’attaquant d’obtenir un accès au niveau utilisateur au système d’exploitation sous-jacent, puis d’élever les privilèges au niveau root. »
L’attaque ne nécessite aucune interaction de l’utilisateur et peut être menée par des attaquants distants non authentifiés, ce qui la rend particulièrement dangereuse pour les déploiements de communications unifiées sur Internet, ajoute l’avis.
L’équipe de réponse aux incidents de sécurité des produits de Cisco a ajouté qu’elle était « au courant d’une tentative d’exploitation de cette vulnérabilité dans la nature », soulignant l’urgence de l’application des correctifs.
Aucune solution de contournement disponible
Cisco a confirmé dans l’avis qu’aucune solution de contournement ou atténuation n’est disponible pour CVE-2026-20045. La société a publié des correctifs spécifiques à chaque version du produit.
Pour Unified Communications Manager, IM&P, SME et Webex Calling Dedicated Instance exécutant la version 14, la société a suggéré aux administrateurs de mettre à niveau vers la version 14SU5 ou d’appliquer un fichier de correctif spécifique à la version. Les organisations exécutant la version 15 peuvent appliquer des correctifs spécifiques à la version pour 15SU2 et 15SU3a, avec une version complète de la version 15SU4 attendue en mars 2026, a ajouté la société.
Les administrateurs Unity Connection disposent d’options similaires, avec des fichiers de correctifs spécifiques à la version disponibles pour les versions 14SU4 et 15SU3.
Les organisations qui utilisent encore la version 12.5 sont confrontées à un choix plus difficile : Cisco ne publiera pas de correctifs pour cette version et recommande de migrer vers une version prise en charge.
« Il est conseillé aux clients de migrer vers une version prise en charge qui inclut le correctif pour cette vulnérabilité », a déclaré Cisco dans l’avis. Les correctifs dépendent de la version et les administrateurs doivent consulter les fichiers README joints à chaque correctif pour connaître les détails de déploiement, ajoute l’avis.
Les agences fédérales sont confrontées à une date limite
L’inclusion par la CISA du CVE-2026-20045 dans le catalogue KEV déclenche des délais de remédiation obligatoires pour les agences du pouvoir exécutif civil fédéral en vertu de la directive opérationnelle contraignante 22-01. Les agences fédérales doivent corriger la vulnérabilité dans les deux semaines suivant son ajout au catalogue le 21 janvier.
Bien que le BOD 22-01 s’applique spécifiquement aux agences fédérales, la CISA « recommande fortement » à toutes les organisations de traiter les vulnérabilités répertoriées par KEV comme des cibles de correctifs hautement prioritaires. Le catalogue suit les failles dont l’exploitation active est confirmée, ce qui les rend beaucoup plus susceptibles d’être utilisées contre un plus large éventail de cibles.
Comment patcher
Cisco a déclaré que les organisations devraient vérifier les signes de compromission potentielle sur toutes les instances accessibles sur Internet après avoir appliqué des mesures d’atténuation. La société a conseillé aux administrateurs d’examiner les journaux et les configurations du système pour détecter toute modification non autorisée ou activité suspecte pouvant indiquer une exploitation antérieure.
Pour les organisations qui ne peuvent pas immédiatement effectuer une mise à niveau vers des versions corrigées, la société a déclaré que les fichiers de correctifs spécifiques à la version offrent une option de correction provisoire. Cependant, Cisco a noté que les correctifs doivent correspondre à la version exacte du logiciel exécuté sur l’appareil et que les administrateurs doivent vérifier la compatibilité avant le déploiement.
