RCE non authentifiée dans Cisco Unified Communications Manager via SSRF et écriture de fichier arbitraire

🔍 Contexte PubliĂ© le 23 juin 2026 par l’équipe technique de SSD Secure Disclosure, cet article prĂ©sente une analyse technique complĂšte d’une vulnĂ©rabilitĂ© critique affectant Cisco Unified Communications Manager (CUCM) version 15.0.1.13901-2, dĂ©couverte par un chercheur indĂ©pendant. 🎯 Nature de la vulnĂ©rabilitĂ© La vulnĂ©rabilitĂ© CVE-2026-20230 est une chaĂźne d’exploitation combinant plusieurs failles : Un endpoint non authentifiĂ© /installClusterStatusExecute exposĂ© via le servlet ClusterInstallStatusServlet dans web.xml Une SSRF (Server-Side Request Forgery) exploitable via des requĂȘtes HTTPS, contournant la validation d’hĂŽte grĂące Ă  l’obtention du vrai hostname via /webdialer/Version.jws?wsdl Une Ă©criture de fichier arbitraire inspirĂ©e de la vulnĂ©rabilitĂ© historique CVE-2019-0227 (Axis 1.4), permettant de dĂ©poser un fichier WSDD malveillant ⚙ ChaĂźne d’exploitation Reconnaissance : rĂ©cupĂ©ration du hostname rĂ©el via https://<cible>/webdialer/Version.jws?wsdl SSRF + Ă©criture de fichier : envoi d’une requĂȘte GET vers /cmplatform/installClusterStatusExecute avec un payload encodĂ© crĂ©ant un nouveau service Axis (randomR11) via un descripteur WSDD DĂ©ploiement d’un premier webshell (aaa.jsp) via le service randomR11 pour Ă©crire des fichiers arbitraires DĂ©ploiement d’un webshell final (c.jsp) permettant l’exĂ©cution de commandes systĂšme arbitraires ExĂ©cution de commandes via https://<cible>/platform-services/axis2-web/c.jsp?pwd=123&i=id đŸ› ïž Composants techniques impliquĂ©s Fichier de configuration : \jakarta-tomcat\webapps\cmplatform\WEB-INF\web.xml Classe vulnĂ©rable : com.cisco.ccm.cmplatform.servlets.ClusterInstallStatusServlet Filtre de sĂ©curitĂ© contournĂ© : com.cisco.ccm.common.security.InjectionFilter MĂ©canisme d’exploitation : Apache Axis LogHandler pour Ă©criture de fichiers Webshells dĂ©posĂ©s : aaa.jsp, c.jsp đŸ©č Correctif Cisco a publiĂ© un correctif disponible via l’advisory officiel cisco-sa-cucm-ssrf-cXPnHcW. ...

23 juin 2026 Â· 3 min

SearchLeak : chaßne de vulnérabilités critiques dans M365 Copilot Enterprise permettant l'exfiltration de données

🔍 Contexte PubliĂ© le 15 juin 2026 par Varonis Threat Labs sur le blog officiel de Varonis, cet article prĂ©sente la dĂ©couverte de SearchLeak, une chaĂźne de vulnĂ©rabilitĂ©s critiques affectant Microsoft 365 Copilot Enterprise. La vulnĂ©rabilitĂ© a Ă©tĂ© corrigĂ©e par Microsoft sous l’identifiant CVE-2026-42824, avec une sĂ©vĂ©ritĂ© maximale critique. ⚙ MĂ©canisme d’attaque : une chaĂźne en trois Ă©tapes SearchLeak combine trois failles distinctes pour former une chaĂźne d’exploitation complĂšte : Parameter-to-Prompt (P2P) Injection : Le paramĂštre q de l’URL de Copilot Enterprise Search est transmis directement au moteur IA comme une instruction exĂ©cutable, permettant Ă  un attaquant d’injecter des commandes arbitraires. HTML Rendering Race Condition : Pendant la phase de streaming de la rĂ©ponse Copilot, une balise <img> est rendue par le navigateur avant que le sanitizer de sortie ne s’active, permettant l’envoi d’une requĂȘte HTTP vers une URL contrĂŽlĂ©e par l’attaquant. CSP Bypass via Bing SSRF : Le domaine *.bing.com Ă©tant autorisĂ© dans la Content Security Policy, l’attaquant exploite l’endpoint Bing searchbyimage qui effectue une requĂȘte cĂŽtĂ© serveur vers une URL arbitraire, contournant ainsi la CSP du navigateur. 🎯 DĂ©roulement de l’attaque L’attaquant envoie Ă  la victime un lien vers m365.cloud.microsoft (domaine lĂ©gitime Microsoft) La victime clique → Copilot interprĂšte le paramĂštre q comme des instructions Copilot recherche dans la boĂźte mail, le calendrier, SharePoint, OneDrive Une balise <img> est gĂ©nĂ©rĂ©e avec les donnĂ©es volĂ©es encodĂ©es dans l’URL Le navigateur envoie la requĂȘte Ă  Bing (autorisĂ© par CSP) Bing effectue un fetch cĂŽtĂ© serveur vers attacker.com/<DONNÉES_VOLÉES>/img.png L’attaquant rĂ©cupĂšre les donnĂ©es dans les logs de son serveur đŸ’„ Impact Les donnĂ©es potentiellement exfiltrables incluent : ...

17 juin 2026 Â· 3 min

Honeypot Ollama : analyse des patterns d'abus sur 32 jours (mars-avril 2026)

🎯 Contexte PubliĂ© le 4 mai 2026 sur InTheCyber Posts par Marco Pedrinazzi, cet article prĂ©sente la premiĂšre partie d’une analyse d’un honeypot Ă©mulant un serveur Ollama dĂ©ployĂ© sur un VPS. Le honeypot a Ă©tĂ© indexĂ© par Censys et Shodan peu aprĂšs son dĂ©ploiement, couvrant la pĂ©riode du 2026-03-20 au 2026-04-21 (32 jours). 📊 Statistiques globales 6 461 Ă©vĂ©nements enregistrĂ©s sur les endpoints de l’API Ollama 324 adresses IP sources uniques 73 user agents uniques Endpoint le plus ciblĂ© : /v1/chat/completions (2 438 Ă©vĂ©nements), suivi de /api/tags (2 100) python-httpx/0.28.1 reprĂ©sente 62,7 % du trafic total (4 054 Ă©vĂ©nements) 🔍 Patterns d’attaque identifiĂ©s 1. ÉnumĂ©ration suivie de tests de vivacitĂ© Plusieurs IPs ont suivi un flux simple : Ă©numĂ©ration du serveur via /api/tags, /api/version, puis envoi de prompts courts et peu coĂ»teux (“Hi”, “What is 2+2?”, “Calculate: 17 * 23”) pour vĂ©rifier quels modĂšles fonctionnaient. Ce trafic a Ă©galement touchĂ© la surface OpenAI-compatible (/v1/*). ...

9 mai 2026 Â· 5 min

CVE-2026-33626 : exploitation de LMDeploy en 12h via SSRF sur endpoint vision-LLM

đŸ—“ïž Contexte Le 22 avril 2026, la Sysdig Threat Research Team (TRT) publie une analyse d’incident documentant l’exploitation de CVE-2026-33626, une vulnĂ©rabilitĂ© Server-Side Request Forgery (SSRF) affectant LMDeploy, un toolkit d’infĂ©rence pour modĂšles de langage vision-language (VLM) dĂ©veloppĂ© par Shanghai AI Laboratory / InternLM. 🔍 VulnĂ©rabilitĂ© La faille rĂ©side dans le traitement du champ image_url lors des requĂȘtes de complĂ©tion de chat. Le serveur dĂ©rĂ©fĂ©rence l’URL fournie sans vĂ©rification de rĂ©solution de nom d’hĂŽte, sans liste de blocage des adresses privĂ©es, ni protection des adresses link-local. Tout schĂ©ma http:// ou https:// est acceptĂ©, y compris http://169.254.169.254/, http://127.0.0.1:3306 ou toute adresse RFC 1918. ...

22 avril 2026 Â· 3 min

Mailpit: vulnérabilité SSRF critique (CVE-2026-21859) activement exploitée expose des réseaux internes

Selon CrowdSec, une vague d’exploitation ciblĂ©e de la vulnĂ©rabilitĂ© critique CVE-2026-21859 affectant Mailpit a Ă©tĂ© observĂ©e, avec une montĂ©e en puissance rĂ©cente des tentatives. ‱ Contexte et paysage de la menace 🚹 PremiĂšres tentatives dĂ©tectĂ©es le 11 fĂ©vrier 2026. Attaques « hautement sĂ©lectives » et Ă  forte composante de renseignement, typiques de campagnes sophistiquĂ©es/APT cherchant un point d’appui initial ou des opportunitĂ©s de mouvement latĂ©ral. Plus de 130 IPs malveillantes rapportĂ©es, avec une augmentation marquĂ©e la semaine passĂ©e. ‱ Produit et impact ...

2 mars 2026 Â· 2 min

CVE-2025-56520 dans Dify: vulnérabilité SSRF activement exploitée sans correctif

Source: CrowdSec — Le billet signale une exploitation active de la vulnĂ©rabilitĂ© CVE-2025-56520 affectant Dify, avec dĂ©tection par le rĂ©seau CrowdSec et un suivi de la menace depuis le 11 fĂ©vrier 2026. ‱ VulnĂ©rabilitĂ© et portĂ©e: La faille est une SSRF au sein du composant RemoteFileUploadApi de Dify (jusqu’à la version 1.6.0), dĂ©clenchĂ©e via l’endpoint /console/api/remote-files/. Dify, plateforme open source d’orchestration d’agents IA/LLM (env. 130k Ă©toiles GitHub), est largement dĂ©ployĂ©e, ce qui expose de nombreux environnements. ...

16 fĂ©vrier 2026 Â· 2 min

GreyNoise alerte sur deux campagnes visant les LLM: SSRF sur Ollama et reconnaissance massive d’endpoints

Source: GreyNoise Labs — Dans un billet de recherche s’appuyant sur une infrastructure honeypot Ollama, GreyNoise rapporte 91 403 sessions d’attaque (octobre 2025–janvier 2026) et dĂ©taille deux campagnes distinctes, corroborant et Ă©tendant les constats de Defused. Un SITREP avec IOCs a Ă©tĂ© transmis aux clients. ‱ Campagne SSRF (oct. 2025–janv. 2026) 🚹: exploitation de SSRF pour forcer des connexions sortantes vers l’infrastructure des attaquants. Deux vecteurs ciblĂ©s: Ollama (model pull) via injection d’URL de registre malveillantes et Twilio SMS webhook (MediaUrl) provoquant des connexions sortantes. Forte poussĂ©e Ă  NoĂ«l (1 688 sessions en 48 h). Utilisation de l’infrastructure OAST de ProjectDiscovery pour valider les callbacks SSRF. Un JA4H unique (po11nn060000
) dans 99% des attaques indique un outillage commun, probablement Nuclei; 62 IPs dans 27 pays, empreintes cohĂ©rentes suggĂ©rant des VPS plutĂŽt qu’un botnet. Évaluation: probablement chercheurs/bug bounty « grey-hat ». ...

10 janvier 2026 Â· 3 min

LogPoint SIEM/SOAR: une chaßne RCE pré-auth construite en combinant 6 failles

Dans un billet technique publiĂ© le 1 janvier 2026, un chercheur en sĂ©curitĂ© raconte comment il a abouti Ă  une chaĂźne d’exploits menant Ă  une RCE prĂ©-auth sur LogPoint SIEM/SOAR aprĂšs une premiĂšre divulgation responsable de failles majeures dĂ©couverte en 24 heures. Le contexte: l’analyse commence par un accĂšs en labo Ă  l’appliance (basĂ©e sur Ubuntu), la rĂ©cupĂ©ration des sources Python (en partie livrĂ©es en .pyc) via dĂ©compilation, et la cartographie de l’architecture: un backend historique en Python sur l’hĂŽte et des microservices Java en Docker pour la partie SOAR. ...

4 janvier 2026 Â· 2 min

Abus de l’en-tĂȘte List‑Unsubscribe : XSS stockĂ©e (CVE-2025-68673) dans Horde et SSRF via Nextcloud Mail

Dans un billet technique publiĂ© le 23 dĂ©cembre 2025, l’auteur explore l’abus de l’en-tĂȘte SMTP List‑Unsubscribe (RFC 2369) et montre comment son implĂ©mentation dans des webmails peut mener Ă  des XSS et SSRF. L’article rappelle que de nombreux clients rendent un bouton « se dĂ©sabonner » Ă  partir de List‑Unsubscribe, parfois sous forme de lien client (URI) ou via une requĂȘte serveur. Des URI non filtrĂ©es (ex. schĂ©ma javascript:) peuvent dĂ©clencher des exĂ©cutions de script cĂŽtĂ© client, tandis que des requĂȘtes cĂŽtĂ© serveur non restreintes peuvent mener Ă  des SSRF. ...

29 dĂ©cembre 2025 Â· 2 min

Oracle E‑Business Suite: faille critique pre-auth RCE (CVE-2025-61882) activement exploitĂ©e

Selon Imperva (blog), une vulnĂ©rabilitĂ© critique CVE-2025-61882 affecte Oracle E‑Business Suite 12.2.3 Ă  12.2.14, ciblant le composant Concurrent Processing/BI Publisher Integration, et fait l’objet d’exploitations actives Ă  grande Ă©chelle. đŸ”„ VulnĂ©rabilitĂ© et impact: Il s’agit d’une exĂ©cution de code Ă  distance prĂ©-authentification (RCE). Les fonctions finance, RH et ERP cƓur sont impactĂ©es, exposant les organisations Ă  un risque majeur. 🚹 Exploitation active: Des acteurs multiples, dont Cl0p, exploitent cette faille depuis aoĂ»t. Imperva rapporte plus de 557 000 tentatives d’attaque en une seule journĂ©e au niveau mondial. ...

16 octobre 2025 Â· 2 min
Derniùre mise à jour le: 3 juillet 2026 📝