Score CVSS 9.9 : Cisco corrige une vulnérabilité critique d'escalade de privilèges dans le logiciel de gestion de réunions

Cisco, le plus grand fournisseur d’équipements réseau au monde, a publié une mise à jour de sécurité mercredi pour corriger une vulnérabilité critique d’escalade de privilèges dans l’API REST de Cisco Meeting Management.

La vulnérabilité critique suivie sous le nom de CVE-2025-20156 a été notée 9.9 sur 10 sur le Système de notation des vulnérabilités communes (CVSS). Ce défaut d’escalade de privilèges, s’il est exploité, pourrait permettre à un attaquant distant et authentifié avec de faibles privilèges d’élever ses privilèges à ceux d’administrateur sur un appareil affecté, posant un risque sévère pour les organisations.

“Cette vulnérabilité existe parce qu’une autorisation appropriée n’est pas appliquée aux utilisateurs de l’API REST. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes API à un point de terminaison spécifique,” a déclaré l’entreprise dans un avis mercredi.

Cisco a également remercié Ben Leonard-Lagarde de Modux pour avoir signalé cette vulnérabilité.

Les versions suivantes de Cisco Meeting Management sont affectées par la vulnérabilité, quelle que soit la configuration de l’appareil, pour lesquelles Cisco a publié des mises à jour logicielles.

• Cisco Meeting Management 3.8 et antérieures : Les utilisateurs sont invités à migrer vers une version corrigée, telle que 3.9.1.

• Cisco Meeting Management 3.9 : Corrigé dans 3.9.1

• Cisco Meeting Management 3.10 : Cette version n’est pas impactée et ne nécessite aucune mise à jour.

Au moment de la publication de l’avis, l’équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) a déclaré qu’elle n’était pas au courant d’annonces publiques ou d’utilisation malveillante de la vulnérabilité, car elle n’a pas encore trouvé de preuves que le défaut soit activement exploité.

Malheureusement, il n’existe aucun contournement pour atténuer cette vulnérabilité. La seule façon de résoudre ce problème est d’appliquer les mises à jour logicielles nécessaires.

Cisco a exhorté les utilisateurs à appliquer immédiatement les correctifs disponibles pour atténuer le risque. Les clients ayant des contrats de service leur permettant de recevoir des mises à jour logicielles régulières devraient obtenir les correctifs de sécurité par leurs canaux de mise à jour habituels.

Pour ceux qui n’ont pas de contrats de service, ils peuvent contacter le Centre d’assistance technique (TAC) pour obtenir de l’aide pour obtenir les mises à jour nécessaires.

De plus, l’entreprise a confirmé que seuls les produits énumérés dans la section Produits vulnérables de l’avis sont affectés. Cisco conseille également aux utilisateurs de vérifier la compatibilité matérielle et logicielle avant de procéder à une mise à niveau afin de maintenir la sécurité et la stabilité de leurs systèmes.