Cisco выпустила экстренные обновления безопасности для двух уязвимостей, каждая из которых получила оценку 9.8 балла по шкале CVSS из максимальных 10.0. Обе бреши позволяют удалённому злоумышленнику без какой-либо аутентификации получить root-доступ или привилегии администратора. Затронуты два продукта: Integrated Management Controller (IMC) и Smart Software Manager On-Prem (SSM On-Prem). Обходных путей защиты нет — только установка патчей.
Первая уязвимость, зарегистрированная как CVE-2026-20093, касается Cisco Integrated Management Controller. Обнаружил её исследователь безопасности под ником jyh. Проблема кроется в некорректной обработке запросов на смену пароля. Атакующему достаточно отправить специально сформированный HTTP-запрос на уязвимое устройство, чтобы обойти аутентификацию и поменять пароль любого пользователя в системе, включая учётные записи администраторов. После этого злоумышленник входит в систему с полными привилегиями скомпрометированного аккаунта. По сути, это полный захват управления устройством без каких-либо предварительных условий.
Список затронутых продуктов по CVE-2026-20093 довольно обширен. Для серии Catalyst 8300 Series Edge uCPE исправление доступно в версии 4.18.3. Серверы UCS C-Series M5 и M6 в автономном режиме (standalone mode) требуют обновления до версий 4.3(2.260007), 4.3(6.260017) или 6.0(1.250174) — в зависимости от текущей конфигурации. Серверы UCS E-Series M3 получили патч в версии 3.2.17, а UCS E-Series M6 — в версии 4.15.3.
Вторая уязвимость — CVE-2026-20160 — затрагивает Cisco Smart Software Manager On-Prem. Её нашли не внешние исследователи, а сами инженеры Cisco. Причём обнаружение произошло в ходе работы над обращением в Cisco Technical Assistance Center (TAC), то есть фактически случайно, при разборе клиентского кейса.
Природа этой бреши отличается от первой. Здесь проблема в непреднамеренном раскрытии внутреннего сервиса, который не должен был быть доступен извне. Злоумышленник может отправить специально сформированный запрос к API этого внутреннего сервиса и выполнить произвольные команды на уровне операционной системы с root-привилегиями. Это худший сценарий из возможных: полное выполнение команд на сервере без авторизации.
Для SSM On-Prem выпущена исправленная версия 9-202601. Других вариантов защиты, кроме обновления, компания не предлагает.
По данным Cisco на момент публикации бюллетеня (среда), ни одна из двух уязвимостей пока не использовалась в реальных атаках. Но расслабляться не стоит. В последнее время злоумышленники активно берут на вооружение свежие уязвимости в продуктах Cisco — между раскрытием бреши и появлением эксплойтов проходит всё меньше времени.
Отсутствие каких-либо workaround'ов делает ситуацию особенно неприятной для организаций с длинным циклом тестирования обновлений. Обе уязвимости не требуют от атакующего ни учётных данных, ни физического доступа, ни сложных цепочек эксплуатации. Один HTTP-запрос или один вызов API — и система скомпрометирована. При рейтинге 9.8 это, по сути, одна десятая до максимальной угрозы.
Компаниям, использующим перечисленное оборудование и программное обеспечение, стоит ставить обновления в приоритет без промедлений.
Изображение носит иллюстративный характер
Первая уязвимость, зарегистрированная как CVE-2026-20093, касается Cisco Integrated Management Controller. Обнаружил её исследователь безопасности под ником jyh. Проблема кроется в некорректной обработке запросов на смену пароля. Атакующему достаточно отправить специально сформированный HTTP-запрос на уязвимое устройство, чтобы обойти аутентификацию и поменять пароль любого пользователя в системе, включая учётные записи администраторов. После этого злоумышленник входит в систему с полными привилегиями скомпрометированного аккаунта. По сути, это полный захват управления устройством без каких-либо предварительных условий.
Список затронутых продуктов по CVE-2026-20093 довольно обширен. Для серии Catalyst 8300 Series Edge uCPE исправление доступно в версии 4.18.3. Серверы UCS C-Series M5 и M6 в автономном режиме (standalone mode) требуют обновления до версий 4.3(2.260007), 4.3(6.260017) или 6.0(1.250174) — в зависимости от текущей конфигурации. Серверы UCS E-Series M3 получили патч в версии 3.2.17, а UCS E-Series M6 — в версии 4.15.3.
Вторая уязвимость — CVE-2026-20160 — затрагивает Cisco Smart Software Manager On-Prem. Её нашли не внешние исследователи, а сами инженеры Cisco. Причём обнаружение произошло в ходе работы над обращением в Cisco Technical Assistance Center (TAC), то есть фактически случайно, при разборе клиентского кейса.
Природа этой бреши отличается от первой. Здесь проблема в непреднамеренном раскрытии внутреннего сервиса, который не должен был быть доступен извне. Злоумышленник может отправить специально сформированный запрос к API этого внутреннего сервиса и выполнить произвольные команды на уровне операционной системы с root-привилегиями. Это худший сценарий из возможных: полное выполнение команд на сервере без авторизации.
Для SSM On-Prem выпущена исправленная версия 9-202601. Других вариантов защиты, кроме обновления, компания не предлагает.
По данным Cisco на момент публикации бюллетеня (среда), ни одна из двух уязвимостей пока не использовалась в реальных атаках. Но расслабляться не стоит. В последнее время злоумышленники активно берут на вооружение свежие уязвимости в продуктах Cisco — между раскрытием бреши и появлением эксплойтов проходит всё меньше времени.
Отсутствие каких-либо workaround'ов делает ситуацию особенно неприятной для организаций с длинным циклом тестирования обновлений. Обе уязвимости не требуют от атакующего ни учётных данных, ни физического доступа, ни сложных цепочек эксплуатации. Один HTTP-запрос или один вызов API — и система скомпрометирована. При рейтинге 9.8 это, по сути, одна десятая до максимальной угрозы.
Компаниям, использующим перечисленное оборудование и программное обеспечение, стоит ставить обновления в приоритет без промедлений.
