🔍 Contexte
Publié le 20 avril 2026 par The Cyber Express, cet article rapporte la publication par Cisco de mises à jour de sécurité corrigeant plusieurs vulnérabilités critiques affectant Cisco Identity Services Engine (ISE), Cisco ISE Passive Identity Connector (ISE-PIC) et Cisco Webex Services. Aucune exploitation active n’a été observée au moment de la divulgation.
🚨 Vulnérabilités Cisco ISE (RCE / Élévation de privilèges)
Trois vulnérabilités critiques ont été identifiées dans Cisco ISE et ISE-PIC, toutes liées à une validation insuffisante des entrées utilisateur permettant l’envoi de requêtes HTTP spécialement forgées :
- CVE-2026-20147 (CVSS 9.9) : Permet à un attaquant authentifié avec des droits administratifs d’exécuter des commandes arbitraires sur l’OS sous-jacent et d’escalader les privilèges jusqu’au niveau root. Affecte ISE versions 3.5 et antérieures.
- CVE-2026-20180 (CVSS 9.9) : Permet à un attaquant avec un accès administratif en lecture seule d’exécuter des commandes arbitraires. Affecte ISE versions 3.4 et antérieures.
- CVE-2026-20186 (CVSS 9.9) : Même impact que CVE-2026-20180, accès en lecture seule suffisant. Affecte ISE versions 3.4 et antérieures.
⚠️ Dans les déploiements en nœud unique, l’exploitation peut provoquer une condition de déni de service empêchant l’authentification de nouveaux endpoints.
🔓 Vulnérabilité Cisco Webex (Usurpation d’identité)
- CVE-2026-20184 (CVSS 9.8) : Causée par une validation incorrecte des certificats dans l’intégration SSO avec Control Hub. Un attaquant non authentifié à distance peut usurper l’identité de n’importe quel utilisateur du service Webex, permettant un accès non autorisé à des comptes légitimes.
🛠️ Versions affectées et correctifs disponibles
| Produit | CVE | Versions affectées | Correctifs |
|---|---|---|---|
| Cisco ISE / ISE-PIC | CVE-2026-20147 | 3.5 et antérieures | ISE 3.1P11, 3.2P10, 3.3P11, 3.4P6, 3.5P3 |
| Cisco ISE / ISE-PIC | CVE-2026-20180, CVE-2026-20186 | 3.4 et antérieures | Idem |
| Cisco Webex Services | CVE-2026-20184 | SSO avec Control Hub | Mise à jour disponible |
Les versions antérieures à 3.1 doivent migrer vers une version supportée. Aucun contournement n’est disponible.
📌 Informations complémentaires
- Les vulnérabilités ont été signalées par Jonathan Lein de TrendAI Research.
- Le Cisco PSIRT confirme l’absence d’exploitation publique ou malveillante connue.
- Les vulnérabilités sont indépendantes les unes des autres.
📰 Nature de l’article
Article de presse spécialisée rapportant la publication de correctifs de sécurité par Cisco, destiné à informer les équipes de sécurité et les administrateurs systèmes sur la criticité des mises à jour disponibles.
🧠 TTPs et IOCs détectés
TTP
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
- T1059 — Command and Scripting Interpreter (Execution)
- T1078 — Valid Accounts (Defense Evasion)
- T1557 — Adversary-in-the-Middle (Credential Access)
IOC
- CVEs :
CVE-2026-20147— NVD · CIRCL - CVEs :
CVE-2026-20180— NVD · CIRCL - CVEs :
CVE-2026-20186— NVD · CIRCL - CVEs :
CVE-2026-20184— NVD · CIRCL
🟡 Indice de vérification factuelle : 40/100 (moyenne)
- ⬜ thecyberexpress.com — source non référencée (0pts)
- ✅ 5089 chars — texte complet (15pts)
- ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 5 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ 0/4 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://thecyberexpress.com/cisco-ise-vulnerabilities-enable-rce/
🖴 Archive : https://web.archive.org/web/20260420070130/https://thecyberexpress.com/cisco-ise-vulnerabilities-enable-rce/