Laut Cisco beruht die Schwachstelle CVE-2026-20093 auf einer fehlerhaften Verarbeitung von Anfragen zum Ändern von Passwörtern. Ein Angreifer könne die Lücke ausnutzen, indem er eine präparierte HTTP-Anfrage an ein betroffenes Gerät sendet. Ein erfolgreicher Angriff erlaube es, die Authentifizierung zu umgehen, die Passwörter beliebiger Benutzer einschließlich eines Admin-Kontos zu ändern und sich als dieser Benutzer Zugang zum System zu verschaffen.
Nach Angaben des unternehmenseigenen Product Security Incident Response Team (PSIRT) gibt es bislang keine Hinweise auf eine Ausnutzung in freier Wildbahn oder auf vorhandenen Proof-of-Concept-Code. Dennoch rät Cisco dringend zum Einspielen der korrigierten Software, da es keine Behelfslösung zur vorübergehenden Eindämmung gibt.
In derselben Woche hat Cisco zudem einen Patch für eine kritische Schwachstelle im Smart Software Manager On-Prem (SSM On-Prem) bereitgestellt. Über CVE-2026-20160 könnten Angreifer ohne Berechtigungen aus der Ferne Code auf verwundbaren SSM-On-Prem-Hosts ausführen. Dazu genügt eine präparierte Anfrage an die API des exponierten Dienstes; die Befehle laufen anschließend mit Root-Rechten auf dem zugrunde liegenden Betriebssystem.
In diesem Monat hatte Cisco bereits eine mit der Höchstbewertung versehene RCE-Schwachstelle (CVE-2026-20131) im Secure Firewall Management Center (FMC) geschlossen. Diese Lücke war von der Ransomware-Gruppe Interlock in Zero-Day-Angriffen ausgenutzt worden. Die US-Behörde CISA nahm CVE-2026-20131 in ihren Katalog aktiv ausgenutzter Schwachstellen auf und wies Bundesbehörden an, ihre Systeme binnen drei Tagen abzusichern.
Kürzlich berichtete BleepingComputer zudem, dass Ciscos interne Entwicklungsumgebung kompromittiert wurde – mithilfe von Zugangsdaten, die während des jüngsten Lieferketten-Angriffs auf Trivy entwendet worden waren.
