Cisco закрыла критические уязвимости в Webex и ISE

Компания Cisco выпустила исправления для 15 уязвимостей в своих продуктах 16 апреля 2026 года. Среди закрытых проблем есть критические уязвимости в решениях Webex и Identity Services Engine.

Компания отмечает, что наиболее опасная проблема получила идентификатор CVE-2026-20184 и 9,8 балла из 10 по шкале оценки уязвимости CVSS v3.1. Она затрагивает функцию единого входа в Webex при интеграции с Control Hub. Уязвимость позволяет удалённым злоумышленникам без авторизации выдавать себя за любого пользователя системы. Причина проблемы заключается в некорректной проверке сертификатов. Атакующие могут подключиться к служебной конечной точке и использовать поддельный токен для доступа к сервисам Webex без разрешения.

Компания устранила уязвимость в облачных сервисах Webex Services. При этом пользователям технологии единого входа необходимо загрузить новый SAML-сертификат поставщика удостоверений в Control Hub. Об этом сообщается в бюллетене безопасности Cisco.

В односерверных развёртываниях Identity Services Engine эксплуатация уязвимостей может привести к отказу в обслуживании. В результате неавторизованные устройства не смогут получить доступ к сети.

Третья критическая проблема в ISE получила номер CVE-2026-20147 и 9,9 балла из 10 по шкале оценки уязвимости CVSS v3.1. Она даёт возможность удалённым авторизованным злоумышленникам с правами администратора выполнять произвольные команды в операционной системе. Метод эксплуатации аналогичен двум предыдущим уязвимостям.

Остальные 11 закрытых уязвимостей имеют среднюю степень опасности. Они могут привести к атакам с обходом директорий, межсайтовому скриптингу, обходу политики аутентификации, утечке файлов, перезаписи файлов и внедрению команд. Компания заявила, что не располагает информацией об использовании этих уязвимостей в реальных атаках.