Die drei Schwachstellen CVE-2026-20147, CVE-2026-20180 und CVE-2026-20186 fasst Cisco in einer gemeinsamen Sicherheitsmeldung zusammen. Nach Darstellung des Herstellers könnte ein erfolgreicher Angriff zunächst Zugriff auf Nutzerebene des darunterliegenden Betriebssystems verschaffen, um die Rechte anschließend bis auf Root-Niveau auszuweiten.

Besondere Bedeutung hat dabei der mögliche Ausfall der Identity Services Engine. Bei Installationen mit nur einem Knoten kann die Ausnutzung dazu führen, dass der betroffene ISE-Knoten nicht mehr verfügbar ist und ein Denial-of-Service-Zustand eintritt. Cisco weist darauf hin, dass in einem solchen Fall Endgeräte, die noch nicht authentifiziert sind, keinen Netzwerkzugang erhalten, bis der Knoten wiederhergestellt ist.

Die vierte Schwachstelle, CVE-2026-20184, betrifft einen cloudbasierten Dienst und erfordert laut Cisco kein Eingreifen der Kunden. Anwender, die Single Sign-On (SSO) nutzen, sollten jedoch ein neues SAML-Zertifikat ihres Identitätsanbieters (IdP) in Control Hub hochladen.

Cisco gibt an, keine Hinweise auf eine aktive Ausnutzung der vier Schwachstellen in freier Wildbahn zu haben. Für die nicht cloudbasierten Lücken stellt der Hersteller aktualisierte Versionen bereit und empfiehlt Anwendern, ihre Instanzen auf den jeweils neuesten Stand zu bringen.