Im Mittelpunkt der Offenlegung stehen zwei Schwachstellen, die die Web-Oberfläche des Firewall Management Center betreffen und jeweils den CVSS-Höchstwert von 10 erreichen.

Die erste, CVE-2026-20079, geht auf einen fehlerhaften Systemprozess zurück, der beim Systemstart angelegt wird. Mit gezielt präparierten HTTP-Anfragen könnten Angreifer die Authentifizierung umgehen und Skripte sowie Befehle ausführen, die ihnen Root-Zugriff auf das zugrunde liegende Betriebssystem des FMC verschaffen.

Die zweite, CVE-2026-20131, ist eine unsichere Deserialisierung. Sendet ein Angreifer ein speziell gestaltetes serialisiertes Java-Objekt an die webbasierte Verwaltungsoberfläche des FMC, kann er aus der Ferne beliebigen Code ausführen und seine Rechte möglicherweise bis auf Root-Ebene ausweiten.

Neun weitere Schwachstellen in Ciscos Hinweis erhielten eine “hohe” CVSS-Bewertung. Dabei handelt es sich überwiegend um Denial-of-Service-Fehler (DoS), darüber hinaus aber auch um SQL-Injection und unbefugten Dateizugriff. Die übrigen Lücken — weitere DoS-Probleme, Command Injection und Cross-Site-Scripting (XSS) — gelten als mittelschwer.

Jeff Liford, Associate Director bei Fenix24, ordnet die Bedeutung des FMC ein: Cisco positioniere das System faktisch als “Nervenzentrum” für die einheitliche Verwaltung von Firewalls und Bedrohungsabwehr. Er vergleicht die Lücken mit einer anderen Cisco-Schwachstelle mit Höchstwertung, die kürzlich im Catalyst SD-WAN Controller bekannt wurde: Die Zero-Day-Lücke CVE-2026-20127 wurde von einem unbekannten, aber versierten Bedrohungsakteur in gezielten Angriffen ausgenutzt.

“Während die Kompromittierung des SD-WAN-Managements Angreifern die Kontrolle über das Routing zwischen Unternehmensstandorten geben kann, erlaubt eine Kompromittierung des FMC, die Sicherheitskontrollen des Netzwerks auf einer wesentlich tieferen Ebene zu untergraben”, sagt Liford. Ein Angreifer mit administrativem Zugriff auf das FMC könne Firewall-Regeln ändern, Prüfmechanismen deaktivieren oder bösartige Konfigurationen gleichzeitig auf mehrere Geräte ausspielen.

Angriffe auf den Netzwerkrand sind laut dem Bericht spätestens seit 2024 verbreitet, angeführt von staatlich gestützten Gruppen, insbesondere solchen mit Bezug zu China. Collin Hogue-Spears, Senior Director of Solution Management bei Black Duck, erklärt den Reiz: “Der Ertrag aus einer einzigen Kompromittierung der Management-Ebene übersteigt das, was hundert kompromittierte Endpunkte einbringen — denn die Firewall schützt das Netzwerk nicht nur, sie definiert es.”

Hogue-Spears verweist auf Daten von VulnCheck, wonach 2025 mehr bekannte ausgenutzte Schwachstellen (KEVs) auf Edge-Geräte entfielen als auf jede andere Technologie. Der Data Breach Investigations Report 2025 von Verizon stellte zudem fest, dass die Ausnutzung von Zero-Day-Lücken in solchen Geräten 2024 gegenüber 2023 um nahezu das Achtfache zunahm. Im Februar versuchte die US-Behörde CISA mit der Binding Operational Directive 26-02 gegenzusteuern: Bundesbehörden müssen alle Firewalls, Router und VPN-Gateways ohne Hersteller-Support innerhalb von 18 Monaten ausfindig machen und außer Betrieb nehmen.

Nach Einschätzung von Hogue-Spears hält die Mehrheit der Organisationen mit dem Problem nicht Schritt: Verteidiger hätten ihre Erkennung um Endpunkt-Agenten und SIEM-Korrelation herum aufgebaut, während Edge-Geräte außerhalb dieses Aufbaus liegen, eigene Protokolle erzeugen und undurchsichtige Firmware ausführen, die kein Drittanbieter-Werkzeug einsehen könne. Er rät, betroffene Geräte umgehend mit dem Cisco Software Checker zu prüfen: “Eine ungepatchte Firewall ist eine unverschlossene Tür mit Fußmatte davor.”