Die beiden schwerwiegendsten der nun geschlossenen Lücken betreffen die Verwaltungssoftware Secure Firewall Management Center. Über CVE-2026-20079 kann ein Angreifer laut Cisco mit präparierten HTTP-Anfragen an ein betroffenes Gerät verschiedene Skripte und Befehle ausführen, die ihm Root-Zugriff auf das System verschaffen.

Bei CVE-2026-20131 nutzt ein Angreifer ein präpariertes serialisiertes Java-Objekt, das er an die web-basierte Verwaltungsoberfläche eines betroffenen Geräts schickt. Gelingt der Angriff, kann er beliebigen Code ausführen und seine Rechte auf Root-Ebene ausweiten.

Während beide Schwachstellen die Secure-FMC-Software betreffen, wirkt sich CVE-2026-20131 zusätzlich auf Cisco Security Cloud Control (SCC) Firewall Management aus, einen cloud-basierten Dienst zur Verwaltung von Sicherheitsrichtlinien über Cisco-Firewalls und andere Geräte hinweg.

Nach Angaben des Product Security Incident Response Team (PSIRT) von Cisco liegen derzeit keine Hinweise auf eine aktive Ausnutzung der beiden Lücken vor; auch öffentlich verfügbarer Proof-of-Concept-Code ist dem Unternehmen nicht bekannt.

Gleichzeitig hat Cisco Dutzende weiterer Schwachstellen behoben, darunter 15 als hoch eingestufte Lücken in Secure FMC, in der Secure Firewall Adaptive Security Appliance sowie in der Software Secure Firewall Threat Defense.

Bereits zuvor hatte Cisco mehrfach kritische Lücken in seinen Sicherheitsprodukten geschlossen: In diesem Jahr behob das Unternehmen im August eine weitere Secure-FMC-Schwachstelle der höchsten Stufe, über die unauthentifizierte Angreifer aus der Ferne beliebige Shell-Befehle einschleusen und auf ungepatchten Geräten ausführen konnten. Im Januar folgten Patches für eine als Zero-Day ausgenutzte Lücke in Cisco AsyncOS, die seit November gegen E-Mail-Appliances eingesetzt wurde, sowie für eine kritische RCE-Schwachstelle in Unified Communications, die ebenfalls in Zero-Day-Angriffen missbraucht wurde. Zuletzt schloss Cisco eine als Zero-Day ausgenutzte Lücke zur Umgehung der Authentifizierung in Catalyst SD-WAN, über die Angreifer aus der Ferne Controller kompromittieren und manipulierte Peers in die betroffenen Netzwerke einschleusen konnten.