[TLP:CLEAR] Cisco opravuje 15 zranitelností

Cisco opravuje 15 zranitelností ve svých produktech. Nejzávažnější z nich jsou popsány níže, zbylé naleznete na [1][2][3][4][5][6][7][8][9][10]. Opravené verze jednotlivých produktů: Cisco Identity Services Engine (ISE) [1][2][3][4] - 3.3 Patch 11, 3.4 Patch 6, 3.5 Patch 3 Cisco ISE Passive Identity Connector (ISE-PIC) [1][3] - 3.3 Patch 11, 3.4 Patch 6, 3.5 Patch 3 Cisco AsyncOS Software for Cisco Secure Web Appliance [5] - 15.2.5-013 Cisco ThousandEyes Enterprise Agent [6] - 1.234.0 Cisco Unity Connection [7][8] - 15SU4, 14SU6 Cisco Webex Services [9][10] - opraveno v rámci cloudu

Cisco ISE & ISE-PIC - RCE, privilege escalation, DoS (CVE-2026-20147)
CVSS 9.9 (Critical)

Autentizovanému vzdálenému útočníkovi s administrátorským účtem v Cisco ISE nebo ISE-PIC je zasíláním speciálně vytvořených HTTP požadavků umožněno zvýšit svá oprávnění na root a spustit kód [1]. V rámci single-node nasazení ISE je útočníkovi umožněno vykonat také útok DoS.

Zranitelnost se nachází v produktech:

  • Cisco Identity Services Engine ve verzích (<3.1 Patch 11) OR (>=3.2 AND <3.2 Patch 10) OR (>=3.3 AND <3.3 Patch 11) OR (>=3.4 AND <3.4 Patch 6) OR (>=3.5 AND <3.5 Patch 3)
  • Cisco Identity Services Engine Passive Identity Connector ve verzích (<3.1 Patch 11) OR (>=3.2 AND <3.2 Patch 10) OR (>=3.3 AND <3.3 Patch 11) OR (>=3.4 AND <3.4 Patch 6)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 15. 4. 2026.

Cisco ISE - OS commands execution, privilege escalation, DoS (CVE-2026-20180, CVE-2026-20186)
CVSS 9.9 (Critical)

Autentizovanému vzdálenému útočníkovi s účtem Read Only Admin v Cisco ISE je zasíláním speciálně vytvořených HTTP požadavků umožněno zvýšit svá oprávnění na root a spouštět příkazy na úrovni operačního systému [2]. V rámci single-node nasazení ISE je útočníkovi umožněno vykonat také útok DoS.

Zranitelnost se nachází v produktu Cisco Identity Services Engine ve verzích (<3.2 Patch 8) OR (>=3.3 AND <3.3 Patch 8) OR (>=3.4 AND <3.4 Patch 4).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 15. 4. 2026.

Cisco Webex Services - unauthorized access (CVE-2026-20184)
CVSS 9.8 (Critical)

Neautentizovanému vzdálenému útočníkovi je za určitých podmínek kvůli nedostatečně validaci certifikátu v integraci SSO (Single Sign-On) při komunikaci s Control Hub umožněno v Cisco Webex převzít identitu libovolného uživatele v rámci služby [9].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 15. 4. 2026.

Za CESNET-CERTS Michaela Ručková dne 6. 5. 2026.

CESNET-CERTS Logo