Se han descubierto vulnerabilidades de severidad alta en productos Cisco. Un actor malicioso podría ejecutar comandos con privilegios de nivel root o causar una denegación de servicio en los dispositivos afectados.
Productos afectados
- Cisco Meeting Management: versiones 3.12 y anteriores.
- Cisco TelePresence Collaboration Endpoint (CE) Software: versiones 10 y anteriores, y versiones de la rama 11.x anteriores a la 11.27.5.0.
- Cisco RoomOS Software.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-20098: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de carga de archivos sin restricciones en la función de gestión de certificados de Cisco Meeting Management. Un actor malicioso remoto autenticado con privilegios de operador de video podría enviar solicitudes HTTP diseñadas para permitir la carga de archivos arbitrarios. El éxito de la explotación podría permitir la sobreescritura de archivos del sistema y la ejecución de comandos con privilegios de nivel root.
CVE-2026-20119: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada insuficiente en el subsistema de renderizado de texto de Cisco TelePresence CE y Cisco RoomOS. Un actor malicioso remoto no autenticado podría lograr una condición de denegación de servicio mediante el envío de texto diseñado (por ejemplo, una invitación de reunión), provocando el reinicio inesperado del dispositivo.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias