Skip to content
hacker_posts

Cisco Unified CM CVE-2026-20230 : SSRF non authentifié vers root, PoC public

Le CERT-FR publie l'avis CERTFR-2026-AVI-0689 sur CVE-2026-20230, SSRF non authentifiée dans Unified CM. Critique côté Cisco, PoC public. Patch 14SU6 dispo, 15SU5 attendu en septembre.

Publié le 4 min de lecture
cveciscoalerte

Le CERT-FR a publié le 4 juin 2026 l'avis CERTFR-2026-AVI-0689 qui reprend la divulgation Cisco du 3 juin : CVE-2026-20230, une server-side request forgery non authentifiée dans Cisco Unified Communications Manager et Unified CM Session Management Edition dont l'impact remonte jusqu'à une écriture de fichier en racine, ouvrant la voie à une élévation vers root. Cisco PSIRT cote la faille CVSS v3.1 8.6 mais lui attribue un Security Impact Rating « Critical » au motif que l'écriture arbitraire peut être chaînée vers une prise de contrôle complète. Un code d'exploitation (PoC) a été rendu public quelques heures après l'avis Cisco.

Ce que permet la faille

Le bug réside dans la validation des requêtes HTTP du service WebDialer. Une requête forgée traverse la validation sans authentification et déclenche un comportement SSRF qui, via le pipeline de gestion de fichiers du composant, écrit un fichier dans le système de fichiers sous-jacent. À partir de là, l'écriture sert de pivot pour positionner un binaire, un cron, ou un fichier de configuration qui sera exécuté par un processus tournant en root. Cisco documente l'enchaînement comme la justification de la cote « Critical » en dépit du score CVSS en dessous de 9.

WebDialer est désactivé par défaut mais largement activé en production parce qu'il porte la fonctionnalité « click-to-call » utilisée par les intégrations CTI et les softphones d'entreprise. Sur un parc CUCM exposé en interne, c'est le service typique laissé allumé sans surveillance dédiée.

Versions affectées

Selon l'avis Cisco cisco-sa-cucm-ssrf-cXPnHcW :

  • Unified CM 14 : toutes versions antérieures à 14SU6 sont vulnérables. Correctif disponible.
  • Unified CM 15 : toutes versions antérieures à 15SU5 sont vulnérables. Le correctif 15SU5 est planifié pour septembre 2026. Cisco met à disposition des patches COP intermédiaires dans l'attente.
  • Unified CM Session Management Edition : même découpage.

À la date du présent article, toute installation en branche 15 sans patch COP est vulnérable.

Statut d'exploitation

  • PoC public. Code d'exploitation accessible en ligne, dont la disponibilité est explicitement rappelée par BleepingComputer et The Hacker News.
  • Pas d'exploitation observée dans la nature. Cisco PSIRT déclare ne pas avoir constaté de campagne active au moment de la publication. Un PoC public combiné à un service souvent exposé en interne fait que cette fenêtre se referme vite — la divulgation date du 3 juin, l'avis CERT-FR du 4.

Que faire

  1. Appliquer le correctif dès maintenant. Branche 14 → 14SU6. Branche 15 → installer le patch COP Cisco disponible en attendant 15SU5 (septembre 2026). L'avis Cisco précise les références de patch COP par release ; ne pas attendre la version intégrée pour la branche 15.
  2. Désactiver WebDialer sur les nœuds CUCM qui n'en ont pas besoin opérationnel. La fonctionnalité est désactivée par défaut pour de bonnes raisons ; si elle n'est pas utilisée par votre intégration CTI, fermer le service supprime la surface d'attaque sans patch.
  3. Isoler le plan de gestion CUCM. L'interface d'administration et le port WebDialer n'ont pas vocation à être joignables depuis le LAN utilisateur ni depuis les segments d'invités. Vérifier les ACL en amont — un SSRF non authentifié exploité depuis le réseau bureautique est le scénario réaliste.
  4. Auditer les écritures inhabituelles dans les répertoires applicatifs et les chemins exécutés par des services privilégiés (/usr/local/bin, /etc/cron.d, dossiers de configuration WebDialer) sur les 30 derniers jours. La signature d'une exploitation est un fichier déposé puis exécuté quelques minutes plus tard.
  5. Vérifier la chaîne SBC / passerelles SIP en amont. Si CUCM est l'orchestrateur de votre téléphonie, sa compromission donne un pivot vers les enregistrements d'appel et la signalisation SIP — étendre la surveillance aux composants adjacents pendant le cycle de patch.

Contexte

La séquence — divulgation éditeur, PoC publié dans la foulée, avis CERT-FR le lendemain — devient le mode opératoire par défaut sur les composants de gestion d'infrastructure. C'est la deuxième vulnérabilité Cisco majeure documentée par le CERT-FR cette semaine après CERTFR-2026-AVI-0699 sur Catalyst SD-WAN Manager (CVE-2026-20245), avec dans les deux cas une élévation vers root comme finalité.

Le point notable côté défense francophone : pour la branche Unified CM 15, le patch intégré n'arrive qu'en septembre. Un trimestre complet à gérer en COP intermédiaires sur une dépendance téléphonie critique, pendant qu'un PoC circule. Les équipes qui n'ont pas une routine de patch COP éprouvée sur CUCM doivent la construire cette semaine.

Articles liés