Se han descubierto vulnerabilidades de severidad alta en productos Cisco. Un actor malicioso podría ejecutar código arbitrario o provocar una denegación de servicio en los sistemas afectados.
Productos afectados
- Cisco IoT Field Network Director (FND): versiones 4.x y anteriores, versiones 5.0.x anteriores a 5.0.0-117.
- Cisco Crosswork Network Controller (CNC): versiones 7.1 y anteriores.
- Cisco Network Services Orchestrator (NSO): versiones 6.3 y anteriores.
- Cisco Serie 350 (SG350) y Serie 350X (SG350X): versiones 2.5.9.54 y 2.5.9.55.
- Cisco Unity Connection: versiones anteriores a 12.5, 14SU5 y 15SU4.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-20034: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de salto de directorio en la interfaz de gestión basada en web. Un actor malicioso remoto y autenticado podría enviar una solicitud de API diseñada para ejecutar código arbitrario con privilegios de superusuario, lo que permite el compromiso total del sistema.
CVE-2026-20167: con una puntuación de 7.7 en CVSS v3.1. Existe una vulnerabilidad de control de acceso inadecuado en la interfaz de gestión. Un actor malicioso remoto y autenticado con bajos privilegios podría solicitar archivos no autorizados de un enrutador gestionado de forma remota, provocando la recarga del dispositivo y una condición de denegación de servicio.
CVE-2026-20185: con una puntuación de 7.7 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica en el subsistema SNMP. Un actor malicioso remoto y autenticado podría enviar una solicitud SNMP diseñada para provocar la recarga inesperada del dispositivo afectado, resultando en una denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias