Die erste der beiden kritischen Schwachstellen wird unter CVE-2026-20079 geführt und mit dem maximalen CVSS-Wert von 10/10 bewertet. Cisco beschreibt sie als Umgehung der Authentifizierung in der Weboberfläche der Software Secure FMC. Gelingt die Ausnutzung, können Angreifer beliebige Skripte auf verwundbaren Installationen ausführen und sich Root-Zugriff auf das darunterliegende Betriebssystem verschaffen.
Ursache ist laut Cisco ein fehlerhaft angelegter Systemprozess, der beim Systemstart erzeugt wird. Ein Angreifer könne die Lücke ausnutzen, indem er manipulierte HTTP-Anfragen an ein betroffenes Gerät sende. Eine erfolgreiche Ausnutzung erlaube es, eine Reihe von Skripten und Befehlen auszuführen, die Root-Zugriff auf das Gerät verschaffen.
Die zweite kritische Lücke betrifft ebenfalls die Weboberfläche von Secure FMC. Sie wird unter CVE-2026-20131 geführt und erhält denselben CVSS-Wert von 10/10. Über sie lässt sich Java-Code mit Root-Rechten ausführen. Der Fehler entsteht, weil ein von Nutzern übermittelter Java-Byte-Stream unsicher deserialisiert wird. Dadurch können Angreifer manipulierte serialisierte Objekte senden und so die Ausnutzung auslösen.
Eine erfolgreiche Ausnutzung erlaube es, beliebigen Code auf dem Gerät auszuführen und die Rechte bis auf Root-Ebene auszuweiten, erläutert Cisco. Das Unternehmen weist darauf hin, dass das Ausnutzungsrisiko geringer ist, wenn die FMC-Verwaltungsschnittstellen nicht aus dem Internet erreichbar sind.
Darüber hinaus veröffentlichte Cisco Korrekturen für neun Schwachstellen mit hohem Schweregrad in den Appliances ASA Firewall, Secure FMC und Secure FTD. Diese könnten für SQL-Injection-Angriffe missbraucht werden, Denial-of-Service-Zustände auslösen oder das Lesen, Anlegen und Überschreiben sensibler Dateien ermöglichen. Die übrigen rund drei Dutzend behobenen Lücken in den Netzwerkprodukten sind als mittelschwer eingestuft.
Weitere Patches betreffen mittelschwere Schwachstellen in Webex und ClamAV; ergänzende Angaben finden sich auf Ciscos Seite mit den Sicherheitshinweisen. Cisco erklärt, dass ihm keine Hinweise auf eine aktive Ausnutzung der genannten Schwachstellen vorliegen, und empfiehlt eine möglichst zeitnahe Aktualisierung.
