Die erste kritische Schwachstelle trägt die Bezeichnung CVE-2026-20093 und betrifft den Integrated Management Controller (IMC) von Cisco. Die Vulnerabilität liegt in der fehlerhaften Verarbeitung von Passwortänderungsanfragen begründet. Ein Angreifer könnte diese Lücke durch das Versenden einer speziell präparierten HTTP-Anfrage an ein betroffenes Gerät ausnutzen. Bei erfolgreicher Exploitation könnte der Angreifer die Authentifizierung umgehen, Passwörter beliebiger Benutzer — einschließlich Admin-Konten — ändern und sich dann mit den Rechten dieser Benutzer am System anmelden.
Die Schwachstelle wurde von dem Sicherheitsforscher “jyh” entdeckt und Cisco gemeldet. Das Unternehmen betont, dass die Lücke unabhängig von der Gerätekonfiguration besteht und alle IMC-Systeme betrifft.
Die zweite kritische Lücke, CVE-2026-20160, betrifft das Smart Software Manager On-Prem (SSM On-Prem) und ist noch gefährlicher: Sie ermöglicht es unauthentifizierten Remote-Angreifern, beliebige Befehle auf dem zugrunde liegenden Betriebssystem auszuführen. Die Ursache liegt in einer unbeabsichtigten Exposition eines internen Service. Durch das Senden einer speziell präparierten Anfrage an die API des exponierten Service könnten Angreifer Befehle mit Root-Privilegien ausführen.
Cisco entdeckte diese Schwachstelle intern während der Bearbeitung eines TAC-Support-Cases und hat Patches in der Version 9-202601 bereitgestellt.
Zwar gibt es bislang keine Hinweise auf aktive Exploitationen in der Praxis, doch warnt Cisco explizit davor, dass mehrere kürzlich offengelegte Lücken in ihren Produkten bereits von Cyberkriminellen missbraucht wurden. Das Unternehmen empfiehlt Kunden daher dringend, auf die gepatchten Versionen zu aktualisieren. Ein Workaround existiert für beide Vulnerabilities nicht. Für deutsche Unternehmen ist es essentiell, diese Updates zeitnah einzuspielen, um ihre IT-Infrastruktur vor potenziellen Remote-Angriffen zu schützen.