https://cyberveille.ch/tags/jsp-webshell-c.jsp/ Recent content in JSP Webshell (C.jsp) on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Tue, 23 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-23-rce-non-authentifiee-dans-cisco-unified-communications-manager-via-ssrf-et-ecriture-de-fichier-arbitraire/ Tue, 23 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-23-rce-non-authentifiee-dans-cisco-unified-communications-manager-via-ssrf-et-ecriture-de-fichier-arbitraire/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 23 juin 2026 par l&rsquo;équipe technique de <strong>SSD Secure Disclosure</strong>, cet article présente une analyse technique complète d&rsquo;une vulnérabilité critique affectant <strong>Cisco Unified Communications Manager (CUCM) version 15.0.1.13901-2</strong>, découverte par un chercheur indépendant.</p> <h2 id="-nature-de-la-vulnérabilité">🎯 Nature de la vulnérabilité</h2> <p>La vulnérabilité <strong>CVE-2026-20230</strong> est une chaîne d&rsquo;exploitation combinant plusieurs failles :</p> <ul> <li>Un <strong>endpoint non authentifié</strong> <code>/installClusterStatusExecute</code> exposé via le servlet <code>ClusterInstallStatusServlet</code> dans <code>web.xml</code></li> <li>Une <strong>SSRF (Server-Side Request Forgery)</strong> exploitable via des requêtes HTTPS, contournant la validation d&rsquo;hôte grâce à l&rsquo;obtention du vrai hostname via <code>/webdialer/Version.jws?wsdl</code></li> <li>Une <strong>écriture de fichier arbitraire</strong> inspirée de la vulnérabilité historique <strong>CVE-2019-0227</strong> (Axis 1.4), permettant de déposer un fichier WSDD malveillant</li> </ul> <h2 id="-chaîne-dexploitation">⚙️ Chaîne d&rsquo;exploitation</h2> <ol> <li><strong>Reconnaissance</strong> : récupération du hostname réel via <code>https://&lt;cible&gt;/webdialer/Version.jws?wsdl</code></li> <li><strong>SSRF + écriture de fichier</strong> : envoi d&rsquo;une requête GET vers <code>/cmplatform/installClusterStatusExecute</code> avec un payload encodé créant un nouveau service Axis (<code>randomR11</code>) via un descripteur WSDD</li> <li><strong>Déploiement d&rsquo;un premier webshell</strong> (<code>aaa.jsp</code>) via le service <code>randomR11</code> pour écrire des fichiers arbitraires</li> <li><strong>Déploiement d&rsquo;un webshell final</strong> (<code>c.jsp</code>) permettant l&rsquo;exécution de commandes système arbitraires</li> <li><strong>Exécution de commandes</strong> via <code>https://&lt;cible&gt;/platform-services/axis2-web/c.jsp?pwd=123&amp;i=id</code></li> </ol> <h2 id="-composants-techniques-impliqués">🛠️ Composants techniques impliqués</h2> <ul> <li>Fichier de configuration : <code>\jakarta-tomcat\webapps\cmplatform\WEB-INF\web.xml</code></li> <li>Classe vulnérable : <code>com.cisco.ccm.cmplatform.servlets.ClusterInstallStatusServlet</code></li> <li>Filtre de sécurité contourné : <code>com.cisco.ccm.common.security.InjectionFilter</code></li> <li>Mécanisme d&rsquo;exploitation : Apache Axis LogHandler pour écriture de fichiers</li> <li>Webshells déposés : <code>aaa.jsp</code>, <code>c.jsp</code></li> </ul> <h2 id="-correctif">🩹 Correctif</h2> <p>Cisco a publié un correctif disponible via l&rsquo;advisory officiel <code>cisco-sa-cucm-ssrf-cXPnHcW</code>.</p>