RCE non authentifiée dans Cisco Unified Communications Manager via SSRF et écriture de fichier arbitraire
🔍 Contexte Publié le 23 juin 2026 par l’équipe technique de SSD Secure Disclosure, cet article présente une analyse technique complète d’une vulnérabilité critique affectant Cisco Unified Communications Manager (CUCM) version 15.0.1.13901-2, découverte par un chercheur indépendant. 🎯 Nature de la vulnérabilité La vulnérabilité CVE-2026-20230 est une chaîne d’exploitation combinant plusieurs failles : Un endpoint non authentifié /installClusterStatusExecute exposé via le servlet ClusterInstallStatusServlet dans web.xml Une SSRF (Server-Side Request Forgery) exploitable via des requêtes HTTPS, contournant la validation d’hôte grâce à l’obtention du vrai hostname via /webdialer/Version.jws?wsdl Une écriture de fichier arbitraire inspirée de la vulnérabilité historique CVE-2019-0227 (Axis 1.4), permettant de déposer un fichier WSDD malveillant ⚙️ Chaîne d’exploitation Reconnaissance : récupération du hostname réel via https://<cible>/webdialer/Version.jws?wsdl SSRF + écriture de fichier : envoi d’une requête GET vers /cmplatform/installClusterStatusExecute avec un payload encodé créant un nouveau service Axis (randomR11) via un descripteur WSDD Déploiement d’un premier webshell (aaa.jsp) via le service randomR11 pour écrire des fichiers arbitraires Déploiement d’un webshell final (c.jsp) permettant l’exécution de commandes système arbitraires Exécution de commandes via https://<cible>/platform-services/axis2-web/c.jsp?pwd=123&i=id 🛠️ Composants techniques impliqués Fichier de configuration : \jakarta-tomcat\webapps\cmplatform\WEB-INF\web.xml Classe vulnérable : com.cisco.ccm.cmplatform.servlets.ClusterInstallStatusServlet Filtre de sécurité contourné : com.cisco.ccm.common.security.InjectionFilter Mécanisme d’exploitation : Apache Axis LogHandler pour écriture de fichiers Webshells déposés : aaa.jsp, c.jsp 🩹 Correctif Cisco a publié un correctif disponible via l’advisory officiel cisco-sa-cucm-ssrf-cXPnHcW. ...