[TLP:CLEAR] Cisco IMC a SSM opravuje 2 kritické zranitelnosti
Cisco opravuje 2 kritické zranitelnosti nacházející se v produktech Integrated Management Controller a Smart Software Manager On-Prem. Pro SSM On-Prem je k dispozici verze 9-202601 [1], u IMC jsou opravené verze uvedeny samostatně pro jednotlivé dotčené produkty [2].
Neautentizovanému vzdálenému útočníkovi je kvůli nesprávnému zpracování požadavků na změnu hesla v Cisco Integrated Management Controller (IMC) umožněno obejít autentizaci, změnit hesla libovolných uživatelů včetně účtu Admin a získat přístup do systému s oprávněními uživatele Admin [2].
Zranitelnost se nachází v produktu Integrated Management Controller.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-20093 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 4. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli neúmyslnému zpřístupnění interní služby v Cisco Smart Software Manager On-Prem (SSM On-Prem) umožněno prostřednictvím speciálně upraveného požadavku na API spustit libovolné příkazy na podkladovém operačním systému s oprávněními root [1].
Zranitelnost se nachází v produktu Cisco Smart Software Manager On-Prem ve verzích <9-202601.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-20160 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-668: Exposure of Resource to Wrong Sphere at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 4. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 8. 4. 2026.
