Cisco ha osado actualizaciones para atracar una rotura de seguridad crítica en el Regulador de Administración Integrado (IMC) que, si se explota con éxito, podría permitir que un atacante remoto no autenticado evite la autenticación y obtenga paso al sistema con privilegios elevados.
La vulnerabilidad, registrada como CVE-2026-20093, tiene una puntuación CVSS de 9,8 de un mayor de 10,0.
“Esta vulnerabilidad se debe al manejo incorrecto de las solicitudes de cambio de contraseña”, dijo Cisco en un aviso publicado el miércoles. “Un atacante podría utilizar esta vulnerabilidad enviando una solicitud HTTP diseñada a un dispositivo afectado”.
“Un exploit exitoso podría permitir al atacante eludir la autenticación, alterar las contraseñas de cualquier favorecido en el sistema, incluido un favorecido administrador, y obtener paso al sistema como ese favorecido”.
Al investigador de seguridad “jyh” se le atribuye el descubrimiento y el mensaje de la vulnerabilidad. La deficiencia afecta a los siguientes productos independientemente de la configuración del dispositivo:
- Sistemas informáticos de red empresarial (ENCS) serie 5000: corregido en 4.15.5
- uCPE Edge Catalyst serie 8300: corregido en 4.18.3
- Servidores en rack UCS C-Series M5 y M6 en modo independiente: corregido en 4.3 (2.260007), 4.3 (6.260017) y 6.0 (1.250174)
- Servidores UCS E-Series M3: corregido en 3.2.17
- Servidores UCS E-Series M6: corregido en 4.15.3
Otra vulnerabilidad crítica parcheada por Cisco afecta a Smart Software Manager On-Prem (SSM On-Prem), que podría permitir que un atacante remoto no autenticado ejecute comandos arbitrarios en el sistema operante subyacente. La vulnerabilidad, CVE-2026-20160 (puntuación CVSS: 9,8), se debe a una exposición involuntaria de un servicio interno.
“Un atacante podría explotar esta vulnerabilidad enviando una solicitud diseñada a la API del servicio expuesto”, dijo Cisco. “Un exploit exitoso podría permitir al atacante ejecutar comandos en el sistema operante subyacente con privilegios de nivel raíz”.
Se han publicado parches para la rotura en Cisco SSM On-Prem interpretación 9-202601. Cisco dijo que la vulnerabilidad fue descubierta internamente durante la resolución de un caso de soporte del Centro de Donación Técnica (TAC) de Cisco.
Si proporcionadamente ninguna de las vulnerabilidades ha sido explotada en la naturaleza, los actores de amenazas han estudioso una serie de fallas de seguridad recientemente reveladas en los productos de Cisco. A descuido de una alternativa alternativa, se recomienda a los clientes que actualicen a la interpretación fija para una protección óptima.
