[TLP:CLEAR] Cisco opravuje 6 zraniteľností
Cisco opravuje 6 zraniteľností v rôznych produktoch. Jednotlivé produkty a ich opravené verzie: Cisco IOS - 25.2.21, 25.4.2 [1][2][4] Cisco Unified Intelligence Center - 15.0(1)ES202511 [3] Cisco Finesse - 15.0(1)ES202511 [3] Cisco Unified CCX Release - 15.0 ES02 [3]
Autentizovanému lokálnemu útočníkovi je v Cisco IOS XR umožnené vykonávať príkazy v operačnom systéme zariadenia s právami root [1].
Zraniteľnosť sa nachádza v produkte Cisco IOS XR vo verziách (>=25.1.0 AND <25.2.21) OR (>=25.3.0 AND <25.4.2).
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2026-20040 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-20046 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 3. 2026.
Neautentizovanému vzdialenému útočníkovi je v Cisco IOS XR opakovaným zasielaním špeciálne vytvorených paketov umožnené vykonať DoS útok [2].
Zraniteľnosť sa nachádza v produkte Cisco IOS XR vo verziách (>=7.8.2 AND <7.12.0) OR (>=24.1 AND <25.2.0).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:N/A:H
Viac informácií:
- CVE-2026-20118 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-460: Improper Cleanup on Thrown Exception at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 3. 2026.
Neautentizovanému vzdialenému útočníkovi je v Cisco Unified Intelligence Center, Finesse a Unified CCX Release vrámci rozhrania webového manažmentu umožnené vykonať XSS útok [3]
Zraniteľnosť sa nachádza v produktoch:
- Cisco Unified Intelligence Center vo verziách >=12.6 AND <15.0(1)ES202511
- Cisco Finesse vo verziách >=12.6 AND <15.0(1)ES202511
- Cisco Unified CCX Release vo verziách >=12.5 SU3 AND <15.0 ES02
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Viac informácií:
- CVE-2026-20116 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-20117 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 3. 2026.
Neautentizovanému priľahlému útočníkovi je v Cisco IOS XR zasielaním špeciálne vytvorených IS-IS paketov umožnené vykonať DoS útok [4].
Zraniteľnosť sa nachádza v produkte Cisco IOS XR vo verziách (>=7.8.0 AND <7.12) OR (>=24.1.0 AND <25.2.2).
CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Viac informácií:
- CVE-2026-20074 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1287: Improper Validation of Specified Type of Input at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 3. 2026.
Odkazy
- [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-privesc-bF8D5U4W?vs_f=Cisco%20Security%20Advisory%26vs_cat=Security%20Intelligence%26vs_type=RSS%26vs_p=Cisco%20IOS%20XR%20Software%20CLI%20Privilege%20Escalation%20Vulnerabilities%26vs_k=1
- [2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-xrncs-epni-int-dos-TWMffUsN?vs_f=Cisco%20Security%20Advisory%26vs_cat=Security%20Intelligence%26vs_type=RSS%26vs_p=Cisco%20IOS%20XR%20Egress%20Packet%20Network%20Interface%20Aligner%20Interrupt%20Denial%20of%20Service%20Vulnerability%26vs_k=1
- [3] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cc-xss-MrNAH5Jh?vs_f=Cisco%20Security%20Advisory%26vs_cat=Security%20Intelligence%26vs_type=RSS%26vs_p=Multiple%20Cisco%20Contact%20Center%20Products%20Cross-Site%20Scripting%20Vulnerabilities%26vs_k=1
- [4] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-isis-dos-kDMxpSzK?vs_f=Cisco%20Security%20Advisory%26vs_cat=Security%20Intelligence%26vs_type=RSS%26vs_p=Cisco%20IOS%20XR%20Software%20Multi-Instance%20Intermediate%20System-to-Intermediate%20System%20Denial%20of%20Service%20Vulnerability%26vs_k=1
Za CESNET-CERTS Martin Krajči dňa 18. 3. 2026.
