思科提醒注意满分SecureFMC漏洞可用于获取root权限

admin
admin
admin
0
文章
0
评论
2026-03-05 21:20:21 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 思科发布安全更新修复了SecureFMC软件中的两个满分漏洞CVE-2026-20079和CVE-2026-20131,均可被未经身份验证的攻击者远程利用以获取root权限。前者为认证绕过漏洞,后者为RCE漏洞可执行任意Java代码,同时影响云端安全策略管理器SCC。目前尚未发现野外利用证据,建议用户尽快安装更新。思科还同步修复了其他15个高危漏洞。 综合评分: 72 文章分类: 漏洞预警,漏洞分析,网络安全,安全建设

cover_image

思科提醒注意满分 Secure FMC 漏洞可用于获取 root 权限

Sergiu Gatlan Sergiu Gatlan

代码卫士

2026年3月5日 17:42 北京

  聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

思科发布安全更新,修复了位于 Secure Firewall Management Center (FMC) 软件中的两个满分漏洞CVE-2026-20079和CVE-2026-20131。

Secure FMC 是一款基于 web 或 SSH 的接口,供管理员管理思科防火墙和配置应用控制、入侵防御、URL 过滤和高阶恶意软件防护。这两个漏洞均可遭未经身份验证攻击者的远程利用:认证绕过漏洞(CVE-2026-20079)可导致攻击者获得对底层操作系统的 root 访问权限,而RCE漏洞(CVE-2026-20131)可导致攻击者在未修复设备上以 root 身份执行任意 Java 代码。

CVE-2026-20079的安全公告提到,“攻击者可通过向受影响设备发送构造 HTTP 请求的方式利用该漏洞。成功利用可导致攻击者执行多种脚本和命令,从而获得对设备的 root 访问权限。攻击者可通过向受影响设备基于 web 的管理接口发送构造序列化 Java 对象的方式利用该漏洞,可导致攻击者在设备上执行任意代码并将权限提升至 root。”

虽然这两个漏洞均影响 Secure FMC 软件,但 CVE-2026-20131还同时影响基于云的安全策略管理器思科 Security Cloud Control (SCC) Firewall Management,而改管理器可简化思科防火墙和其它设备的策略。

目前,思科表示尚未发现这两个漏洞遭在野利用或者 PoC 利用代码已公开发布的证据。另外,思科还修复了十几个其它漏洞,其中15个高危漏洞位于 Secure FMC、Secure Firewall Adaptive Security Appliance 和 Secure Firewall Threat Defense 软件中。

去年8月,思科还修复了另外一个满分的Secure FMC 漏洞,并提醒该漏洞可导致未经身份验证的远程攻击者注入可在未修复设备上执行的任意 shell 命令。今年1月份,思科还修复了一个 AsyncOS 0day漏洞,该漏洞自去年11月起已遭利用,目前已修复。上个月,思科 Catalyst SD-WAN 认证绕过漏洞也在0day 状态下遭利用,可导致远程攻击者攻陷控制器并向目标网络添加恶意欺诈对等节点。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login

推荐阅读

思科修复已遭利用的 Unified CM RCE 0day漏洞

思科:速修复已出现 exp 的身份服务引擎漏洞

思科修复 Contact Center Appliance 中的多个严重漏洞

速修复!思科ASA 两个0day漏洞已遭利用,列入 CISA KEV 清单

思科修复影响路由器和交换机的 0day 漏洞

原文链接

https://www.bleepingcomputer.com/news/security/cisco-warns-of-max-severity-secure-fmc-flaws-giving-root-access/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 “赞” 吧~

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:代码卫士 Sergiu Gatlan Sergiu Gatlan《思科提醒注意满分 Secure FMC 漏洞可用于获取 root 权限》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0