Im Zentrum der von OPSWAT gemeldeten Funde steht die Kombination zweier Lücken in den Catalyst-9300-Switches. Über CVE-2026-20114 und CVE-2026-20110 können Angreifer ihre Rechte ausweiten und einen dauerhaften DoS-Zustand erzeugen, der sich nach Darstellung von OPSWAT mitunter nur durch manuelles Eingreifen beheben lässt.
CVE-2026-20114 betrifft die webbasierte Verwaltungs-API “Lobby Ambassador”. Weil Parameter nicht ausreichend geprüft werden, kann ein als Lobby Ambassador angemeldeter Angreifer einen neuen Nutzer mit Zugriffsstufe 1 auf die API anlegen und sich so Zugang zum Gerät verschaffen.
CVE-2026-20110 liegt in der Verwaltungs-CLI der betroffenen Geräte. Hier sind dem Befehl “start maintenance” falsche Berechtigungen zugeordnet, wodurch sich das Gerät in den Wartungsmodus versetzen lässt. Durch das Verketten der anfänglichen Rechteausweitung mit der anschließenden Befehlsinjektion lasse sich die Wartungsoperation auslösen, erklärt OPSWAT. In den überprüften Szenarien sei zur Wiederherstellung des Normalbetriebs physischer Zugang zum Gerät nötig gewesen, was die betrieblichen Folgen erheblich verstärke.
Die beiden übrigen offengelegten Fehler erlauben Cross-Site-Scripting-Angriffe (CVE-2026-20112) beziehungsweise das Einschleusen von Log-Einträgen durch CRLF-Manipulation (CVE-2026-20113).
Über die vier Catalyst-Lücken hinaus hat Cisco mit der aktuellen Update-Runde sechs Schwachstellen mit hohem Schweregrad behoben. Fünf davon können DoS-Zustände auslösen, die sechste ermöglicht das Umgehen von Secure Boot. Als Ursachen nennt Cisco die unzureichende Verarbeitung bestimmter Pakete, mangelhaft geprüfte Benutzereingaben, eine fehlerhafte Verwaltung von Speicherressourcen sowie eine unzureichende Software-Prüfung beim Systemstart.
Zwei weitere mittelschwere Probleme, die im Zuge der Aktualisierungen beseitigt wurden, können zu Informationspreisgabe und DoS-Zuständen führen. Weitere Angaben stellt Cisco auf seiner Seite mit Sicherheitshinweisen bereit.
