L’agence américaine de cybersécurité, la Cybersecurity and Infrastructure Security Agency (CISA), ordonne aux agences fédérales de corriger une faille critique dans Cisco Unified Communications Manager Server avant dimanche. Cette vulnérabilité fait l’objet d’exploitations actives.
Cette faille, référencée sous le code CVE-2026-20230, est une falsification de requête côté serveur (SSRF). La CISA l’a ajoutée à son catalogue des vulnérabilités exploitées.
Conformément à la directive opérationnelle contraignante BOD 26-04, le correctif est urgent et doit être appliqué au plus tard le 28 juin.
Cisco avait classé la CVE-2026-20230 comme critique et publié un correctif le 3 juin. L’entreprise avait averti qu’elle pouvait être exploitée à distance et sans authentification via des requêtes HTTP spécialement conçues.
Cisco avait alors indiqué qu’un code d’exploitation de preuve de concept existait, mais n’avait trouvé aucune trace d’attaques actives.
Le week-end dernier, la société de détection de menaces Defused a observé l’exploitation de cette vulnérabilité pour écrire des fichiers texte arbitraires sur les systèmes ciblés.
On ignore pour l’instant quel type de menace exploite la CVE-2026-20230.
Une vulnérabilité critique dans les logiciels PLM
La CISA a également ajouté une autre faille, la CVE-2026-12569, à son catalogue des vulnérabilités exploitées. Il s’agit d’un défaut de validation d’entrée qui touche les logiciels PTC Windchill et FlexPLM.
Ces deux solutions sont des systèmes de gestion du cycle de vie des produits (PLM) développés par PTC pour les secteurs de la fabrication, de l’ingénierie, du retail, de la chaussure, de l’habillement et des biens de consommation.
La CVE-2026-12569 est une vulnérabilité critique d’exécution de code à distance (RCE). Elle peut être exploitée via la désérialisation de données non fiables.
PTC a dévoilé cette faille le 18 juin dans un avis de sécurité. L’entreprise a dirigé ses clients vers la liste complète des versions vulnérables de Windchill et FlexPLM, et les a exhortés à agir sans délai.
Selon l’éditeur, la faille affecte toutes les versions jusqu’à la 11.0, ainsi que de multiples versions des branches de développement 11.1, 11.2, 12.0, 12.1 et 13.0.
La CISA a fixé la même échéance, le 28 juin, pour que les agences fédérales corrigent la CVE-2026-12569.
Les agences et organisations soumises à la directive BOD 26-04 doivent agir immédiatement pour sécuriser leurs systèmes. Elles doivent appliquer les mises à jour de sécurité disponibles et les mesures d’atténuation recommandées par les éditeurs, ou cesser d’utiliser les produits concernés avant la date limite.