Cisco hat Patches für 50 Schwachstellen veröffentlicht, darunter zwei kritische Lücken in der Firewall ASA und Secure FMC mit CVSS-Score 10/10, die Authentifizierungsvorgänge umgehen und Root-Zugriff ermöglichen können.
Der Netzwerkausrüster Cisco hat am Mittwoch umfangreiche Sicherheitsupgrades für seine Enterprise-Produkte angekündigt. Insgesamt 50 Schwachstellen wurden behoben, wobei 48 davon die Firewall ASA, Secure FMC und Secure FTD betreffen. Die Patches wurden in einer gebündelten Publikation mit 25 Sicherheitsempfehlungen bereitgestellt.
Die beiden schwerwiegendsten Lücken sind im Web-Interface der Secure FMC-Software zu finden. Die erste Schwachstelle (CVE-2026-20079, CVSS 10/10) ermöglicht es Angreifern, die Authentifizierung zu umgehen. Durch gezielt manipulierte HTTP-Anfragen können Angreifer beliebige Skripte ausführen und Root-Zugriff auf das Betriebssystem erlangen. Laut Cisco entsteht das Problem durch einen fehlerhaften Systemprozess, der beim Hochfahren erstellt wird.
Die zweite kritische Schwachstelle (CVE-2026-20131, CVSS 10/10) ermöglicht die Ausführung von Java-Code mit Root-Privilegien. Das Problem liegt in der unsicheren Deserialisierung von Byte-Streams, die es Angreifern erlaubt, manipulierte Objekte einzuschleusen. Cisco weist jedoch darauf hin, dass das Risiko für nicht internetgestützte FMC-Management-Interfaces geringer ausfällt.
Zusätzlich wurden neun Schwachstellen mit hohem Schweregrad identifiziert, die sich für SQL-Injection-Angriffe, Denial-of-Service-Attacken sowie das Auslesen, Erstellen oder Überschreiben von sensiblen Dateien ausnutzen lassen. Die verbleibenden rund 36 Lücken sind Probleme mittlerer Schwere in den Enterprise-Appliances. Auch in Webex und ClamAV wurden entsprechende Updates bereitgestellt.
Cisco bestätigt, dass bislang keine Hinweise auf aktive Ausnutzung dieser Lücken in freier Wildbahn bekannt sind. Dennoch empfiehlt das Unternehmen dringend sofortige Updates für alle betroffenen Systeme. Weitere technische Details sind auf Ciscos Sicherheitswebseite verfügbar.
Quelle: SecurityWeek