Vulnérabilités critiques dans les produits Cisco

TitreVulnérabilités critiques dans les produits Cisco
Numéro de Référence
60061601/26
Date de publication
16 janvier 2026
Niveau de Risque
Critique
Niveau d'Impact
Critique

Systèmes affectés:

Produits affectés par le zero-day « CVE-2025-20393 » : 

 

  • Cisco Secure Email Gateway : 

    • Cisco AsyncOS 14.2 et versions antérieures

    • Cisco AsyncOS 15.0

    • Cisco AsyncOS 15.5

    • Cisco AsyncOS 16.0

  • Cisco Secure Email and Web Manager :

    • Cisco AsyncOS 15.0 et versions antérieures

    • Cisco AsyncOS 15.5

    • Cisco AsyncOS 16.0

  • N.B : Ces produits sont vulnérables lorsque : 

    • la fonctionnalité Spam Quarantine est activée et exposée à Internet

 

Les vulnérabilités restantes affectent les produits suivants :

  • Cisco ISE 3.2, 3.3, 3.4 ;

  • Cisco EPNM 7.1, 8.0, 8.1 ;

  • Cisco Prime Infrastructure 3.10;

 

Identificateurs externes:

  • CVE-2026-20076, CVE-2026-20047, CVE-2026-20075,  CVE-2025-20393 ;

Bilan de la vulnérabilité:

Cisco a publié des correctifs de sécurité pour plusieurs vulnérabilités critiques affectant les produits susmentionnées. Parmi celles-ci figure une vulnérabilité « zero-day », référencée « CVE-2025-20393 », résultant d’une validation insuffisante des requêtes HTTP dans la fonctionnalité « Spam Quarantine ». Cette faille peut être exploitée par un attaquant distant non authentifié via l’envoie de  requête spécialement conçue, lui permettant d’exécuter des commandes arbitraires avec les privilèges « root » sur les équipements vulnérables.

Par ailleurs, l’exploitation des autres vulnérabilités peut permettre à un attaquant authentifié d’exécuter du code JavaScript arbitraire dans le navigateur des utilisateurs ciblés ou d’accéder à des informations sensibles. 

Solution:

Cisco recommande l’application immédiate des mises à jour de sécurité du 15 Janvier 2026 afin de réduire les risques de compromission.

Risque:

  • Exécution du code arbitraire à distance ;
  • Exécution de commandes arbitraires à distance ;
  • Élévation de privilèges;
  • Contournement des mécanismes et politiques de sécurité ;

Référence:

Bulletin de sécurité Cisco du  15 Janvier 2026:

Brochure:

Vulnérabilités critiques dans les produits Cisco.pdf

Pour signaler tout contenu numérique criminel, incluant atteinte à la sécurité des individus et des groupes, louanges ou incitations au terrorisme, et atteinte aux droits et libertés des enfants, utilisez la plateforme suivante : www.e-blagh.ma

DGSSI2026 All rights reserved