Se han descubierto vulnerabilidades de severidad crítica en productos Cisco. Un actor malicioso podría ejecutar comandos arbitrarios en el sistema operativo, elevar privilegios a nivel de superusuario, suplantar identidades de usuarios o provocar una denegación de servicio.
Productos afectados
- Cisco Identity Services Engine (ISE)
- Cisco Identity Services Engine Passive Identity Connector (ISE-PIC)
- Cisco Webex Meetings
- Cisco Webex Services (Integración de SSO con Control Hub)
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-20186: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos en el sistema operativo. Un actor malicioso remoto y autenticado con privilegios mínimos de administrador podría enviar una solicitud HTTP diseñada para ejecutar comandos arbitrarios con privilegios de root.
CVE-2026-20147: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos debido a una validación insuficiente de la entrada de usuario. Un actor malicioso remoto y autenticado con credenciales administrativas válidas podría enviar solicitudes HTTP diseñadas para obtener acceso al sistema operativo y elevar privilegios a root.
CVE-2026-20184: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de validación de certificados inadecuada en la integración de inicio de sesión único. Un actor malicioso remoto y no autenticado podría suministrar un token diseñado a un punto final del servicio para suplantar a cualquier usuario y obtener acceso no autorizado a los servicios de Webex.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias