[TLP:CLEAR] Cisco opravuje 4 zranitelnosti v různých produktech
Cisco opravuje 4 středně závažné zranitelnosti v různých produktech [1][2][3]. Opravené verze jednotlivých produktů: Cisco Intersight Virtual Appliance Software - 1.1.4-1 [1] Cisco IEC6400 Wireless Backhaul Edge Compute Software - 1.2.0 [2] Cisco Packaged Contact Center Enterprise (CCE) - 15.0(1)ES202511 [3] Cisco Unified CCE - 15.0(1)ES202511 [3]
Autentizovanému lokálnímu útočníkovi s omezeným administrátorským oprávněním (read-only) je neoprávněnou modifikací systémových souborů v servisním shellovém rozhraní pro údržbu Cisco Intersight Virtual Appliance umožněno zvýšit svá oprávnění až na úroveň root. Zatímco u Intersight PVA je manuální upgrade nutný, cloudový Intersight CVA bude aktualizován automaticky [1].
Zranitelnost se nachází v produktu Cisco Intersight Virtual Appliance Software ve verzích >=1.1.4 AND <1.1.4-1.
CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Více informací:
- CVE-2026-20092 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-732: Incorrect Permission Assignment for Critical Resource at cwe.mitre.org
Zranitelnost byla veřejně oznámena 21. 1. 2026.
Neautentizovanému vzdálenému útočníkovi je v rámci softwaru Cisco IEC6400 Wireless Backhaul Edge Compute umožněno vykonat útok DoS na SSH port. Ostatní operace zůstávají během útoku nenarušeny [2].
Zranitelnost se nachází v produktu Cisco IEC6400 Wireless Backhaul Edge Compute Software ve verzích (<=1.1.0) OR (>=1.1.0 AND <1.2.0).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Více informací:
- CVE-2026-20080 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zranitelnost byla veřejně oznámena 21. 1. 2026.
Autentizovanému vzdálenému útočníkovi s administrátorským účtem je ve webovém rozhraní pro správu Cisco Packaged a Unified CCE umožněno vykonat útok XSS [3].
Zranitelnost se nachází v produktech:
- Cisco Packaged Contact Center Enterprise ve verzích (<=12.6) OR (>=12.6 AND <15.0(1)ES202511)
- Cisco Unified Contact Center Enterprise ve verzích (<=12.6) OR (>=12.6 AND <15.0(1)ES202511)
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
Více informací:
- CVE-2026-20055 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-20109 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 21. 1. 2026.
Odkazy
- [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-intersight-privesc-p6tBm6jk
- [2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iec6400-Pem5uQ7v
- [3] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucce-pcce-xss-2JVyg3uD
Za CESNET-CERTS Michaela Ručková dne 23. 1. 2026.
