Cisco hat in der Nacht zum Donnerstag zehn Sicherheitsmitteilungen veröffentlicht. Es handelt sich dabei um teils kritische Sicherheitslücken in den Produkten des Unternehmens.

In Ciscos Identity Services Engine (ISE) sind demnach die am schwerwiegendsten Sicherheitslücken vorhanden. Die ermöglichen das Einschleusen von Schadcode aus dem Netz. Angemeldete Administratoren können in ISE und ISE Passive Identity Connector (ISE-PIC) Schadcode aus dem Netz oder Path-Traversal-Angriffe auf verwundbare Instanzen ausführen (CVE-2026-20147, CVSS 9.9, Risiko „kritisch“; CVE-2026-20148, CVSS 4.9, Risiko „mittel“). Angreifer mit Nur-Lese-Admin-Zugangsdaten können aus dem Netz beliebige Befehle an das Betriebssystem von ISE-Instanzen schleusen und damit Codeschmuggel aus dem Netz betreiben (CVE-2026-20180, CVE-2026-20186, beide CVSS 9.9, Risiko „kritisch“)..

In der Webkonferenz-Software Cisco Webex befindet sich ebenfalls eine kritische Sicherheitslücke (CVE-2026-20184, CVSS 9.8, Risiko „kritisch“). Cisco hat das Problem bereits serverseitig gelöst, da es sich um einen Cloud-Dienst handelt.

Cisco hat auf der Website seiner Security Advisories alle Sicherheitslücken aufgelistet.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE