CVE-2026-20230 : SSRF critique Cisco Unified CM WebDialer, PoC public disponible

Les faits

Cisco a publié le 4 juin 2026 un bulletin de sécurité pour CVE-2026-20230, une vulnérabilité de type SSRF (Server-Side Request Forgery) affectant le composant WebDialer Web Service de Cisco Unified Communications Manager (Unified CM) et Unified CM Session Management Edition (SME). Quelques jours après la publication du bulletin, un code d'exploitation public (proof-of-concept) est apparu sur des dépôts publics, que le PSIRT de Cisco a confirmé avoir identifié.

WebDialer est un service de click-to-dial accessible via navigateur, permettant aux utilisateurs de passer des appels téléphoniques directement depuis leur poste de travail ou des applications tierces intégrées. Ce composant est activé par défaut dans la plupart des déploiements Cisco Unified CM, notamment dans les environnements d'entreprise utilisant les téléphones IP Cisco et les intégrations avec des CRM ou des plateformes de collaboration.

La vulnérabilité réside dans une validation insuffisante des paramètres d'entrée sur des requêtes HTTP spécifiques transmises au service WebDialer. Un attaquant non authentifié peut envoyer une requête HTTP forgée qui, via le mécanisme SSRF, force le serveur à écrire des fichiers sur le système de fichiers sous-jacent. C'est précisément cette capacité d'écriture de fichiers arbitraires, combinée aux permissions élevées du processus WebDialer, qui ouvre la voie à une escalade de privilèges jusqu'à root.

La chaîne d'exploitation documentée dans le PoC public suit deux phases : d'abord l'exploitation SSRF pour écrire un fichier dans un emplacement stratégique du système, puis le déclenchement d'un mécanisme de chargement automatique (service restart, cron job ou processus de configuration de Unified CM) pour exécuter ce fichier avec les privilèges root. L'absence d'authentification requise pour la phase initiale abaisse considérablement la barrière d'exploitation.

Cisco Internal Security Assessment a qualifié la vulnérabilité de "Critical" malgré un score CVSS officiel de 8.6 (High), en raison du contexte opérationnel : Unified CM est souvent déployé avec une exposition réseau large au sein des LAN d'entreprise, et une prise de contrôle root équivaut à compromettre l'intégralité de l'infrastructure téléphonique, y compris les enregistrements d'appels, les flux chiffrés et les intégrations Active Directory.

Le calendrier de correction est particulièrement préoccupant pour les déploiements sur le train 15 (versions 15.x) : Cisco indique qu'un COP (Cisco Options Package) patch intermédiaire est disponible pour le train 15, mais que le correctif complet intégré 15SU5 ne sera pas disponible avant septembre 2026. Pour le train 14, la version 14SU6 publiée le 4 juin intègre le correctif complet.

Ce n'est pas la première vulnérabilité critique de Cisco Unified CM en 2026 : CVE-2026-20045, un 0-day RCE sans authentification, avait déjà été ajouté à la liste KEV de la CISA en mai 2026. La répétition de vulnérabilités critiques sur ce produit soulève des questions légitimes sur la robustesse du processus de développement sécurisé appliqué à Unified CM.

Le délai entre la divulgation du PoC et la disponibilité d'un correctif complet pour le train 15 — potentiellement trois mois — est caractéristique des contraintes des cycles de release des logiciels d'infrastructure d'entreprise. Dans cet intervalle, les organisations déployant Unified CM 15.x doivent obligatoirement implémenter les mitigations alternatives ou migrer vers le train 14SU6.

Impact et exposition

Cisco Unified Communications Manager est l'une des plateformes téléphoniques IP d'entreprise les plus déployées au monde, présente dans des milliers d'organisations — grandes entreprises, administrations, secteur hospitalier, environnements industriels. La surface d'exposition est particulièrement large car WebDialer est activé par défaut et accessible depuis l'ensemble du réseau LAN sans restriction spécifique dans la majorité des déploiements. Les environnements sans microsegmentation réseau sont les plus exposés à une exploitation latérale post-compromission initiale.

Recommandations

• Train 14 : mettre à jour immédiatement vers Cisco Unified CM 14SU6 (correctif disponible depuis le 4 juin 2026)
• Train 15 : appliquer le COP patch intermédiaire disponible auprès du support Cisco, ou désactiver le service WebDialer via Cisco Unified Serviceability jusqu'à disponibilité de 15SU5
• Vérifier que le service WebDialer est inaccessible depuis les segments réseau non métiers et depuis Internet
• Surveiller les logs du service WebDialer pour détecter des requêtes HTTP anormales
• Appliquer une segmentation réseau restreignant l'accès à Unified CM aux seuls segments LAN légitimes