[TLP:CLEAR] Cisco opravuje 5 zranitelností

Cisco opravuje 5 zranitelností v různých produktech. Nejzávažnější zranitelnosti jsou popsány níže, zbylé naleznete na [1]. Jednotlivé produkty a jejich opravené verze: Cisco Meeting Management - 3.12.1 MR [2] Cisco TelePresence CE Software, RoomOS Software - On-Premise: 11.27.5.0, 11.32.3.0 [3] - Cloud-Aware: RoomOS October 2025, RoomOS December 2025 [3] Cisco Prime Infrastructure - 3.10.6 Security Update 02 [4][5] Cisco Evolved Programmable Network Manager - 8.1.1 [5] Cisco Secure Web Appliance - 15.2.5-011 [6]

Cisco Meeting Management - arbitrary file upload (CVE-2026-20098)
CVSS 8.8 (High)

Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci vstupu ve webovém rozhraní správy certifikátů v Cisco Meeting Management umožněno zasláním speciálně upraveného HTTP požadavku nahrát libovolné soubory, přepsat systémové soubory a tím spustit příkazy a eskalovat svá oprávnění na root. Útočník musí mít platné přihlašovací údaje s rolí alespoň Video Operator [2].

Zranitelnost se nachází v produktu Cisco Meeting Management ve verzích >=3.12 AND <3.12.1 MR.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X

Více informací:

Zranitelnost byla veřejně oznámena 4. 2. 2026.

Cisco TelePresence Collaboration Endpoint Software, RoomOS Software - DoS (CVE-2026-20119)
CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci vstupu v subsystému vykreslování textu v Cisco TelePresence CE a Cisco RoomOS umožněno pomocí speciálně vytvořeného textu způsobit restart zařízení a tím vyvolat odmítnutí služby (DoS), a to bez interakce uživatele [3].

Zranitelnost se nachází v produktech:

  • Cisco TelePresence CE Software
  • Cisco RoomOS Software

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:X/RL:X/RC:X

Více informací:

Zranitelnost byla veřejně oznámena 4. 2. 2026.

Za CESNET-CERTS Michaela Jarošová dne 5. 2. 2026.

CESNET-CERTS Logo