Den Kern des am Mittwoch veröffentlichten Pakets bilden zwei eng verwandte Schwachstellen mit dem höchsten Schweregrad. CVE-2026-20040 entsteht laut Cisco dadurch, dass an bestimmte CLI-Befehle übergebene Benutzerargumente nicht ausreichend geprüft werden. Ein Angreifer mit geringen Rechten kann am Befehlsprompt manipulierte Befehle einschleusen. „Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, seine Rechte auf root anzuheben und beliebige Befehle auf dem zugrunde liegenden Betriebssystem auszuführen", erläutert Cisco in seinem Sicherheitshinweis.

CVE-2026-20046 betrifft die Zuordnung einer bestimmten CLI-Befehlsfunktion zu sogenannten Task-Groups. Im Quellcode ist der Befehl falsch auf diese Gruppen abgebildet. Dadurch kann ein nicht privilegierter Angreifer die auf Task-Groups basierenden Berechtigungsprüfungen über CLI-Befehle umgehen, seine Rechte auf Administratorebene anheben und Aktionen ohne Autorisierungsprüfung ausführen. Beide Lücken erhielten einen CVSS-Wert von 8.8.

Ebenfalls am Mittwoch kündigte Cisco einen Patch für CVE-2026-20074 an (CVSS-Wert 7.4). Der Fehler steckt in der Funktion für Multi-Instance-Routing nach dem Verfahren Intermediate System-to-Intermediate System (IS-IS). Wegen unzureichender Prüfung eingehender IS-IS-Pakete kann ein nicht authentifizierter Angreifer aus dem benachbarten Netzsegment präparierte Pakete an ein verwundbares Gerät senden und so den IS-IS-Prozess zum Neustart zwingen, was zu einem DoS-Zustand führt.

Die vierte hochgradige Lücke in IOS XR ist CVE-2026-20118 mit einem CVSS-Wert von 6.8. Sie betrifft die Verarbeitung eines sogenannten EPNI-Aligner-Interrupts (Egress Packet Network Interface). Wird dieser Interrupt bei starkem Transitverkehr ausgelöst, kann es zu beschädigten Paketen kommen. Ein Angreifer kann durch einen kontinuierlichen Strom manipulierter Pakete anhaltenden, hohen Paketverlust und damit einen DoS-Zustand herbeiführen.

Für sämtliche dieser Schwachstellen stehen Korrekturen zur Verfügung. Cisco betont, dass dem Unternehmen keine Hinweise auf eine Ausnutzung der Lücken in freier Wildbahn vorliegen.

Unabhängig vom IOS-XR-Paket schloss Cisco am selben Tag zwei mittelschwere Schwachstellen in den Produkten Packaged CCE, Unified CCE, Unified CCX und Unified Intelligence Center. Über diese Fehler könnten entfernte, nicht authentifizierte Angreifer Cross-Site-Scripting-Angriffe (XSS) durchführen.