Résumé
Le 21 janvier 2026, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans les produits Cisco Unified Communications, des logiciels utilisés par les entreprises pour gérer les appels téléphoniques, les visioconférences et les messages.
Référencée sous CVE-2026-20045, cette vulnérabilité permet à un attaquant distant d’injecter du code malveillant, comme si on forçait une porte verrouillée avec un passe-partout, pour obtenir un accès utilisateur au système d’exploitation sous-jacent, puis escalader les privilèges jusqu’à root (contrôle total, comme devenir admin suprême). Cela compromet l’intégrité, la confidentialité et la disponibilité du système.
Solutions
Appliquez les mitigations selon les instructions du fournisseur Cisco.
La faille est activement exploitée : oui
Détails techniques
Score CVSS : 8.2
EPSS : non spécifié
Risques : Injection de code avec élévation de privilèges
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Cisco Unified Communications Manager (Unified CM)
- Cisco Unified Communications Manager Session Management Edition (Unified CM SME)
- Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P)
- Cisco Unity Connection
- Cisco Webex Calling Dedicated Instance
Documentation
- Bulletin de sécurité de Cisco :
- Détails NIST CVE :
https://nvd.nist.gov/vuln/detail/CVE-2026-20045
- CVE Details :
https://www.cvedetails.com/cve/CVE-2026-20045/
- CWE :