Multiples vulnérabilités dans Cisco, Drupal et Mitel : le CERT-FR émet plusieurs avis de sécurité

Le service gouvernemental français en charge de la cybersécurité a diffusé, le 18 juin 2026, trois avis distincts portant sur des vulnérabilités récemment identifiées dans des produits de plusieurs éditeurs. Ces notifications concernent les solutions Cisco, le système de gestion de contenu Drupal et les équipements Mitel. Dans chaque cas, des correctifs ont été mis à disposition par les éditeurs respectifs, et les utilisateurs sont invités à les appliquer sans délai.

Produits Cisco : deux vulnérabilités dans Identity Services Engine

L'avis référencé CERTFR-2026-AVI-0772 détaille deux failles de sécurité affectant le logiciel Cisco Identity Services Engine (ISE) et sa version allégée ISE-PIC. Ces vulnérabilités, identifiées par les codes CVE-2026-20181 et CVE-2026-20190, exposent les systèmes à deux types de risques principaux : une exécution de code arbitraire à distance et une compromission de la confidentialité des données.

Les versions concernées incluent les branches 3.4.x antérieures au patch 6, les versions 3.5.x antérieures au patch 3, ainsi que toutes les versions antérieures à 3.3 patch 11. L'éditeur a indiqué qu'une mise à jour corrective pour la branche 3.5, le patch 4, devrait être disponible au mois d'août 2026. En attendant, les administrateurs sont invités à se référer au bulletin de sécurité publié par Cisco le 17 juin 2026.

CMS Drupal : cinq avis de sécurité pour des versions multiples

Le second avis, numéro CERTFR-2026-AVI-0771, compile les informations issues de cinq bulletins de sécurité émis par l'équipe de Drupal à la date du 17 juin 2026. Les correctifs concernent un large éventail de branches du système de gestion de contenu : les versions 10.6.x antérieures à 10.6.11, les versions 11.2.x antérieures à 11.2.14, les versions 11.3.x antérieures à 11.3.12, ainsi que toutes les versions antérieures à 10.5.12.

Les risques listés couvrent plusieurs types d'attaques : exécution de code arbitraire à distance, injection SQL (SQLi), falsification de requêtes côté serveur (SSRF), contournement de la politique de sécurité, et injection de code indirecte à distance (XSS). Cinq identifiants CVE ont été attribués : CVE-2026-55803, CVE-2026-55804, CVE-2026-55806, CVE-2026-55807 et CVE-2026-55808.

Solutions Mitel : des failles critiques dans les communications unifiées

Le troisième avis, CERTFR-2026-AVI-0770, met en garde contre des vulnérabilités multiples découvertes dans des produits de l'éditeur Mitel, spécialisé dans les télécommunications et les communications unifiées. Les systèmes affectés sont les solutions MiCollab (versions 10.2.x antérieures à 10.2 SP1 FP2, et versions 9.8.x antérieures à 9.8 SP3 FP2) ainsi que la MiVoice Business Solution Virtual Instance (MiVB SVI) dans ses versions 1.0 et 2.x antérieures à 2.1.0.9-4.

Les conséquences potentielles sont particulièrement sévères : exécution de code arbitraire à distance, atteinte à la confidentialité et à l'intégrité des données, contournement de la politique de sécurité, falsification de requêtes côté serveur (SSRF) et injection SQL (SQLi). Le bulletin de sécurité Mitel, référencé MISA-2026-0005, a été rendu public le 17 juin 2026. Les administrateurs des systèmes concernés sont invités à appliquer sans attendre les correctifs fournis par l'éditeur.