En bref

  • CVE-2026-20184 (CVSS 9.8) permet d'usurper n'importe quel utilisateur d'un tenant Cisco Webex via une faille SSO.
  • Cisco a corrigé la vulnérabilité côté cloud, mais les clients utilisant le SSO doivent déposer un nouveau certificat SAML dans Control Hub.
  • Aucun exploit actif recensé à ce jour, mais la fenêtre de patching côté tenant ouvre une surface d'exposition tant que le certificat n'est pas renouvelé.

Ce qui s'est passé

Cisco a publié le 15 avril 2026 un bulletin de sécurité corrigeant CVE-2026-20184, une vulnérabilité critique notée 9.8 sur l'échelle CVSS, qui affecte l'intégration SSO entre Cisco Webex Services et le portail d'administration Control Hub. La faille résulte d'une validation incorrecte de certificat pendant la phase d'établissement de la session SSO. Un attaquant non authentifié, distant, sans interaction utilisateur, peut exploiter cette faiblesse pour se faire passer pour n'importe quel utilisateur du tenant Webex visé et accéder aux services Cisco Webex dans son contexte : réunions, fichiers partagés, messagerie persistante, intégrations tierces. D'après les éléments publiés par Cisco et relayés par The Hacker News, l'éditeur a déployé un correctif côté cloud, ce qui signifie que l'infrastructure Webex centrale n'exige pas d'intervention des clients pour le volet serveur.

La nuance importante concerne les clients qui utilisent le SSO avec un fournisseur d'identité externe. Ceux-ci doivent téléverser un nouveau certificat SAML IdP dans Control Hub pour rétablir une validation correcte. Sans cette action, la relation de confiance n'est pas réétablie dans le périmètre du correctif, et Cisco évoque explicitement un risque d'interruption de service en plus du risque de sécurité. Cisco a par ailleurs indiqué qu'aucun exploit n'a été détecté à ce stade, ni en mode proof of concept ni en exploitation active.

CVE-2026-20184 fait partie d'une salve plus large : Cisco a publié en parallèle trois autres correctifs critiques, dont deux visant la gamme Identity Services Engine et un pour la passerelle Webex App. Ensemble, ces correctifs suivent de deux semaines la correction de CVE-2026-20160, la RCE root dans Cisco SSM On-Prem.

Pourquoi c'est important

L'impersonation SSO sur Webex n'est pas une vulnérabilité anodine. Pour les organisations qui utilisent Webex comme outil principal de collaboration, la capacité d'usurper n'importe quel utilisateur revient à accéder aux fils de discussion confidentiels, aux enregistrements de réunions et aux intégrations SaaS connectées via OAuth. Un attaquant qui exploiterait cette faille avant le renouvellement de certificat SAML contournerait l'intégralité des contrôles MFA, puisque l'authentification se fait en amont, chez l'IdP. C'est précisément ce scénario qui a pesé sur le choix de communication de Cisco : informer immédiatement les clients SSO, même si la partie serveur est déjà patchée.

Cette publication intervient dans un contexte de pression continue sur les produits de collaboration et les infrastructures d'identité, après le Patch Tuesday d'avril 2026 qui a corrigé 167 failles Microsoft et plusieurs correctifs critiques chez d'autres éditeurs. Les équipes sécurité font face à une charge de patching soutenue, où l'ordonnancement devient aussi stratégique que la détection, comme l'a également rappelé la salve de onze correctifs Fortinet publiée récemment. Pour les RSSI, la question centrale n'est pas si le patch est disponible, mais quand les certificats associés auront été renouvelés sur tout le parc.

Ce qu'il faut retenir

  • Téléverser dans Control Hub un nouveau certificat SAML pour chaque IdP lié au tenant Webex, au plus vite, pour clore la fenêtre d'exposition.
  • Auditer les journaux SSO Webex sur les 30 derniers jours à la recherche d'authentifications anormales ou d'IP inhabituelles.
  • Rappeler aux équipes IAM que les failles côté fournisseur SaaS ne sont pas toujours corrigées sans action cliente, malgré le modèle cloud.

Que se passe-t-il si je ne renouvelle pas le certificat SAML IdP ?

Deux conséquences. Sur le plan sécurité, votre tenant Webex reste exposé à des tentatives d'impersonation tant que la chaîne de confiance SSO n'est pas ré-établie dans le périmètre du correctif. Sur le plan fonctionnel, Cisco signale un risque d'interruption des connexions SSO à mesure que les anciens certificats expirent ou sont révoqués dans l'infrastructure Webex. L'opération est rapide côté administration (moins de dix minutes par IdP) et n'impacte pas les sessions en cours, ce qui justifie de la planifier sans attendre la prochaine fenêtre de maintenance.

Comment savoir si CVE-2026-20184 a été exploitée sur mon tenant ?

Cisco n'a pas publié de règle de détection spécifique, mais les logs Control Hub et les journaux SAML de votre IdP permettent des vérifications utiles. Rechercher les authentifications SAML acceptées sans échec MFA correspondant côté IdP, les ouvertures de session depuis des IP géographiquement incohérentes avec le profil utilisateur, et les modifications de paramètres Control Hub réalisées par des comptes non-administrateurs. En cas de doute, l'ouverture d'un ticket TAC permet à Cisco de confirmer à partir de la télémétrie serveur.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact