Nach Angaben von SonicWall erlaubt CVE-2026-15409 einem entfernten, nicht authentifizierten Angreifer, eine Appliance zu Anfragen an unbeabsichtigte Ziele zu zwingen. Die Schwachstelle steckt in der Work-Place-Oberfläche der SMA1000 Appliance. CVE-2026-15410 betrifft dagegen die Management Console der SMA1000 Appliance und kann einem entfernten, authentifizierten Administrator die Ausführung beliebiger Betriebssystembefehle ermöglichen.
SonicWall erklärte, das PSIRT habe mehrere Fälle untersucht, die auf eine aktive Ausnutzung der in der Warnung beschriebenen Schwachstellen hindeuten. Kunden sollten „so schnell wie möglich“ auf die Hotfix-Version aktualisieren, um die Lücken zu schließen. Ob Angreifer beide Schwachstellen in einer Kette kombinieren, hat das Unternehmen nicht offengelegt.
Betroffen sind die SMA1000-Modelle 6210, 7210 und 8200v mit den Plattform-Hotfix-Versionen 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 und 12.5.0-02800. Korrekturen stehen laut SonicWall in den Plattform-Hotfix-Versionen 12.4.3-03453 und 12.5.0-02835 sowie in späteren Versionen bereit.
Nicht betroffen sind laut Hersteller SSL-VPN auf SonicWall-Firewalls sowie die Produktlinie SMA 100 Series. SonicWall hat außerdem Kompromittierungsindikatoren veröffentlicht, mit denen Administratoren prüfen können, ob eine Appliance bereits kompromittiert wurde. Das Unternehmen empfiehlt ausdrücklich, nicht nur auf die neueste Hotfix-Version zu aktualisieren, sondern auch zu analysieren, ob einer dieser Indikatoren vorliegt.
Wird eine Kompromittierung festgestellt, rät SonicWall dazu, physische Appliances neu zu installieren beziehungsweise virtuelle Appliances neu bereitzustellen. Zusätzlich sollen alle Benutzer- und Administratorpasswörter geändert und TOTP-Token zurückgesetzt werden. Weitere Ausweichmaßnahmen oder Abschwächungen gibt es nach Angaben des Herstellers nicht; als einzige Abhilfe nennt SonicWall die Installation der Hotfixes.
Auch die US-Behörde CISA stuft die Lage als akut ein. Sie hat CVE-2026-15409 und CVE-2026-15410 in ihren KEV-Katalog aufgenommen und damit bestätigt, dass beide Schwachstellen aktiv in Angriffen ausgenutzt werden. Bundesbehörden in den USA müssen betroffene Systeme nach der verbindlichen Vorgabe BOD 26-04 bis zum 17. Juli 2026 absichern oder die Nutzung des Produkts einstellen, falls sich die Maßnahmen nicht umsetzen lassen.
