Cisco a publié des mises à jour de sécurité pour une vulnérabilité Webex de gravité élevée qui permet à des attaquants non authentifiés d’obtenir l’exécution de code à distance côté client à l’aide de liens d’invitation à une réunion malveillants.
Identifiée sous le numéro CVE-2025-20236, cette faille de sécurité a été découverte dans l’analyseur d’URL personnalisé Webex et peut être exploitée en incitant les utilisateurs à télécharger des fichiers arbitraires, ce qui permet aux auteurs de menaces d’exécuter des commandes arbitraires sur des systèmes exécutant des logiciels non corrigés lors d’attaques de faible complexité.
« Cette vulnérabilité est due à une validation insuffisante des entrées lorsque l’application Cisco Webex traite un lien d’invitation à une réunion », a expliqué Cisco dans un avis de sécurité publié cette semaine.
« Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur de cliquer sur un lien d’invitation à une réunion contrefait et de télécharger des fichiers arbitraires. Un exploit réussi pourrait permettre à l’attaquant d’exécuter des commandes arbitraires avec les privilèges de l’utilisateur ciblé. »
Ce bogue de sécurité affecte les installations d’applications Cisco Webex, quel que soit le système d’exploitation ou la configuration du système. Il n’existe aucune solution de contournement, des mises à jour logicielles sont donc nécessaires pour bloquer les tentatives d’exploitation potentielles.
| Lancement de l’application Cisco Webex | Première Version Fixe |
|---|---|
| 44.5 et versions antérieures | Pas vulnérable. |
| 44.6 | 44.6.2.30589 |
| 44.7 | Migrez vers une version fixe. |
| 44,8 et plus tard | Pas vulnérable. |
Cette semaine, Cisco a également publié des correctifs de sécurité pour une faille d’escalade de privilèges (CVE-2025-20178) dans l’interface de gestion Web de Secure Network Analytics, qui peut permettre aux attaquants dotés d’informations d’identification d’administrateur d’exécuter des commandes arbitraires en tant que root.
Cisco a également corrigé une vulnérabilité du tableau de bord Nexus (CVE-2025-20150) qui permet aux attaquants non authentifiés d’énumérer les comptes d’utilisateurs LDAP à distance et de déterminer quels noms d’utilisateur sont valides.
Cependant, l’Équipe de réponse aux incidents de sécurité des produits (PSIRT) de l’entreprise n’a trouvé aucun exploit de validation de principe dans la nature et aucune preuve d’activité malveillante ciblant des systèmes non corrigés contre des failles de sécurité corrigées ce mercredi.
Plus tôt ce mois-ci, Cisco a également averti les administrateurs de corriger une vulnérabilité critique d’informations d’identification statiques Cisco Smart Licensing Utility (CSLU) (CVE-2024-20439) qui expose un compte administrateur de porte dérobée intégré et est maintenant activement exploitée dans les attaques.
Fin mars, CISA a ajouté la faille CVE-2024-20439 à son Catalogue de vulnérabilités exploitées connues et a ordonné aux agences fédérales américaines de sécuriser leurs réseaux contre les attaques en cours dans les trois semaines suivant le 21 avril.