[TLP:CLEAR] Cisco opravuje 5 zranitelností
Cisco opravuje 5 zranitelností ve svých produktech [1]. Produkty a jejich opravené verze: Cisco Identity Services Engine - 3.3 Patch 11, 3.4 Patch 6, 3.5 Patch 4 (srpen 2026) [2] Cisco Umbrella Virtual Appliance - 3.8.5 [3] Cisco Crosswork Network Controller - 7.1.3, 7.2.1 [4] Cisco Webex App - opraveno v cloudové službě [5]
Autentizovanému vzdálenému útočníkovi s administrátorskými oprávněními je kvůli nedostatečnému ověření uživatelského vstupu umožněno pomocí upraveného HTTP požadavku spustit libovolné příkazy, eskalovat oprávnění na uživatele root a v jednouzlovém nasazení vykonat útok DoS [2].
Zranitelnost se nachází v produktu Cisco ISE ve verzích (>=3.3 AND <3.3 Patch 11) OR (>=3.4 AND <3.4 Patch 6) OR (>=3.5 AND <3.5 Patch 4).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H/E:X/RL:X/RC:X
Více informací:
- CVE-2026-20182 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 16. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli nesprávné kontrole oprávnění při přístupu ke zdrojům umožněno získat citlivé informace včetně hashovaných přihlašovacích údajů [2].
Zranitelnost se nachází v produktu Cisco ISE ve verzích (>=3.4 AND <3.4 Patch 6) OR (>=3.5 AND <3.5 Patch 3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2026-20190 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-285: Improper Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 6. 2026.
Autentizovanému vzdálenému útočníkovi s oprávněními k zápisu šablon je kvůli nedostatečnému ověření vstupu v konfiguračním šablonovacím enginu webového rozhraní Cisco Crosswork Network Controller umožněno spustit libovolné příkazy operačního systému v částech souborového systému přístupných uživateli šablon [4].
Zranitelnost se nachází v produktu Cisco Crosswork Network Controller ve verzích (<=7.1) OR (>=7.1 AND <7.1.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:X/RC:X
Více informací:
- CVE-2026-20220 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 6. 2026.
Autentizovanému lokálnímu útočníkovi s oprávněními vmadmin je kvůli nedostatečnému ověření příkazů v CLI umožněno eskalovat oprávnění na uživatele root [3].
Zranitelnost se nachází v produktu Cisco Umbrella Virtual Appliance Software ve verzích <3.8.5.
CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N/E:X/RL:X/RC:X
Více informací:
- CVE-2026-20246 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-269: Improper Privilege Management at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečnému ověření parametrů URL umožněno přesměrovat uživatele na škodlivou webovou stránku [5].
Zranitelnost se nachází v produktu Cisco Webex App.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:X/RL:X/RC:X
Více informací:
- CVE-2026-20178 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-601: URL Redirection to Untrusted Site ('Open Redirect') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 6. 2026.
Odkazy
- [1] https://sec.cloudapps.cisco.com/security/center/publicationListing.x
- [2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-multi-G5WP8vv
- [3] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-umbrella-priv-esc-F4wJB7AU
- [4] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cnc-inj-QNMeEmxk
- [5] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-app-redirect-KOyxhffH
Za CESNET-CERTS Michaela Jarošová dne 18. 6. 2026.
