CVE-2026-20184 : faille critique SSO Cisco Webex corrigée

Ce qui s'est passé

Cisco a publié le 15 avril 2026 un bulletin de sécurité corrigeant CVE-2026-20184, une vulnérabilité critique notée 9.8 sur l'échelle CVSS, qui affecte l'intégration SSO entre Cisco Webex Services et le portail d'administration Control Hub. La faille résulte d'une validation incorrecte de certificat pendant la phase d'établissement de la session SSO. Un attaquant non authentifié, distant, sans interaction utilisateur, peut exploiter cette faiblesse pour se faire passer pour n'importe quel utilisateur du tenant Webex visé et accéder aux services Cisco Webex dans son contexte : réunions, fichiers partagés, messagerie persistante, intégrations tierces. D'après les éléments publiés par Cisco et relayés par The Hacker News, l'éditeur a déployé un correctif côté cloud, ce qui signifie que l'infrastructure Webex centrale n'exige pas d'intervention des clients pour le volet serveur.

La nuance importante concerne les clients qui utilisent le SSO avec un fournisseur d'identité externe. Ceux-ci doivent téléverser un nouveau certificat SAML IdP dans Control Hub pour rétablir une validation correcte. Sans cette action, la relation de confiance n'est pas réétablie dans le périmètre du correctif, et Cisco évoque explicitement un risque d'interruption de service en plus du risque de sécurité. Cisco a par ailleurs indiqué qu'aucun exploit n'a été détecté à ce stade, ni en mode proof of concept ni en exploitation active.

CVE-2026-20184 fait partie d'une salve plus large : Cisco a publié en parallèle trois autres correctifs critiques, dont deux visant la gamme Identity Services Engine et un pour la passerelle Webex App. Ensemble, ces correctifs suivent de deux semaines la correction de CVE-2026-20160, la RCE root dans Cisco SSM On-Prem.

Pourquoi c'est important

L'impersonation SSO sur Webex n'est pas une vulnérabilité anodine. Pour les organisations qui utilisent Webex comme outil principal de collaboration, la capacité d'usurper n'importe quel utilisateur revient à accéder aux fils de discussion confidentiels, aux enregistrements de réunions et aux intégrations SaaS connectées via OAuth. Un attaquant qui exploiterait cette faille avant le renouvellement de certificat SAML contournerait l'intégralité des contrôles MFA, puisque l'authentification se fait en amont, chez l'IdP. C'est précisément ce scénario qui a pesé sur le choix de communication de Cisco : informer immédiatement les clients SSO, même si la partie serveur est déjà patchée.

Cette publication intervient dans un contexte de pression continue sur les produits de collaboration et les infrastructures d'identité, après le Patch Tuesday d'avril 2026 qui a corrigé 167 failles Microsoft et plusieurs correctifs critiques chez d'autres éditeurs. Les équipes sécurité font face à une charge de patching soutenue, où l'ordonnancement devient aussi stratégique que la détection, comme l'a également rappelé la salve de onze correctifs Fortinet publiée récemment. Pour les RSSI, la question centrale n'est pas si le patch est disponible, mais quand les certificats associés auront été renouvelés sur tout le parc.

Ce qu'il faut retenir

• Téléverser dans Control Hub un nouveau certificat SAML pour chaque IdP lié au tenant Webex, au plus vite, pour clore la fenêtre d'exposition.
• Auditer les journaux SSO Webex sur les 30 derniers jours à la recherche d'authentifications anormales ou d'IP inhabituelles.
• Rappeler aux équipes IAM que les failles côté fournisseur SaaS ne sont pas toujours corrigées sans action cliente, malgré le modèle cloud.