Se han descubierto vulnerabilidades de severidad crítica y alta en productos Cisco. Un actor malicioso podría ejecutar comandos arbitrarios en el sistema operativo, omitir mecanismos de autenticación u obtener privilegios de nivel de superusuario.
Productos afectados
- Cisco Smart Software Manager On-Prem (SSM On-Prem).
- Cisco Integrated Management Controller (IMC).
- Cisco Evolved Programmable Network Manager (EPNM).
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-20160: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de exposición de recursos a una esfera incorrecta debido a la exposición involuntaria de un servicio interno. Un actor malicioso remoto y no autenticado podría enviar una solicitud diseñada a la API del servicio expuesto para ejecutar comandos arbitrarios en el sistema operativo con privilegios de administrador.
CVE-2026-20093: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada inadecuada en la funcionalidad de cambio de contraseña. Un actor malicioso remoto y no autenticado podría enviar una solicitud HTTP diseñada para omitir la autenticación, permitiendo la alteración de contraseñas de cualquier usuario y el acceso al sistema con privilegios de administrador.
CVE-2026-20094: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos en la interfaz de gestión basada en web. Un actor malicioso remoto y autenticado con privilegios de solo lectura podría enviar comandos diseñados para realizar una inyección de comandos y ejecutar acciones arbitrarias en el sistema operativo como usuario root.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias