Root přístup je obzvláště nebezpečný, protože útočníkům dává plnou kontrolu nad zařízením. Mohou modifikovat systémové soubory, instalovat backdoory, vypínat logování nebo manipulovat s pravidly firewallu.

Druhá zranitelnost vzniká nesprávným zpracováním serializovaných Java objektů v management rozhraní. Útočník může odeslat škodlivý serializovaný objekt do webového rozhraní, spustit libovolný Java kód a eskalovat oprávnění na root.

Zranitelnosti v serializaci jsou pro útočníky atraktivní, protože často umožňují spuštění kódu bez nutnosti autentizace.

CVE-2026-20131 postihuje také Cisco Security Cloud Control – cloudovou platformu pro centralizovanou správu bezpečnostních politik napříč Cisco firewally. Tato platforma umožňuje administrátorům vynucovat bezpečnostní politiky v distribuovaných prostředích včetně hybridních a multi-cloudových nasazení.

Kompromitace této platformy by mohla útočníkům dát kontrolu nad firewall politikami napříč více sítěmi, což výrazně zvyšuje potenciální dopad zneužití.

Cisco Product Security Incident Response Team (PSIRT) uvedl, že v současnosti nemá důkazy o aktivním zneužívání těchto zranitelností a že nebyl identifikován žádný veřejný proof-of-concept exploit. Kritické zranitelnosti v široce nasazených infrastrukturních produktech jsou však často rychle zneužity poté, co jsou vydány záplaty. Útočníci mohou provést reverzní inženýrství záplat, identifikovat podkladové chyby a vytvořit exploity.

Tato zveřejnění následují po sérii kritických zranitelností postihujících Cisco infrastrukturu v posledním roce. V srpnu 2025 Cisco opravilo další zranitelnost maximální závažnosti ve Secure FMC (CVE-2025-20265), která umožňovala neautentizovaným útočníkům injektovat příkazy shellu.

V lednu 2026 společnost vydala záplaty pro kritickou zero-day zranitelnost v platformě Cisco AsyncOS (CVE-2025-20393), která byla aktivně zneužívána již od konce roku 2025. Tentýž měsíc Cisco řešilo kritickou RCE chybu v infrastruktuře Unified Communications (CVE-2026-20045), také zneužitou jako zero-day.

V únoru 2026 Cisco opravilo další problém maximální závažnosti v Cisco Catalyst SD-WAN (CVE-2026-20127), který útočníkům umožnil obejít autentizaci a kompromitovat SD-WAN controllery.

Secure FMC funguje jako centrální bod správy pro firewall infrastrukturu. Úspěšný útok může mít kaskádové důsledky. Útočník s kontrolou nad management systémem může modifikovat firewall politiky, vypnout bezpečnostní ochranu, nasadit škodlivá síťová pravidla, zachytávat nebo přesměrovat síťový provoz a instalovat persistentní backdoory.

Ve velkých podnikových prostředích, kde jediná konzole řídí stovky firewallů, může kompromitace FMC útočníkům umožnit rychle rozšířit přístup napříč celou sítí.

Cisco doporučuje administrátorům okamžitě nainstalovat nejnovější bezpečnostní aktualizace. Obě zranitelnosti lze zneužít vzdáleně a nevyžadují autentizaci, což zvyšuje naléhavost nasazení záplat. Bezpečnostní týmy by měly také zvážit dodatečná obranná opatření: omezení přístupu k rozhraním pro správu firewallu, monitorování logů pro neobvyklou aktivitu správy, implementaci síťové segmentace kolem management systémů a aplikaci pravidel detekce průniků pro podezřelé serializované Java objekty.

Ačkoliv v současnosti neexistují důkazy o aktivním zneužívání, maximální hodnocení závažnosti a možnost vzdáleného útoku činí tyto zranitelnosti obzvláště nebezpečnými. Organizace používající Cisco platformy pro správu firewallů by měly prioritizovat záplatování dříve, než se útočníci pokusí chyby zneužít.

Cisco Security Advisory

The Cyber Security Hub