2026-1139: Cisco IOS, Cisco IOS XE, Cisco IOx: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2026-03-26 13:26): Neues Advisory
Version 2 (2026-04-07 16:57): Der Hersteller hat den Sicherheitshinweis cisco-sa-iosxe-mntc-dos-LZweQcyq (CVE-2026-20110) um eine Prüfung auf verwundbare Systeme ergänzt.

Betroffene Software

Netzwerk
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Netzwerk
Cisco

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, einen Cross-Site-Scripting (XSS)-Angriff und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Zwei weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine Schwachstelle ausnutzen, um beliebigen Programmcode während des Boot-Vorgangs auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Cisco veröffentlicht die halbjährliche Cisco Event Response ERP-75297 für Cisco IOS und IOS XE und führt insgesamt 12 Schwachstellen auf. Sicherheitsupdates für Cisco IOS, Cisco IOS XE und Cisco IOx können mit Hilfe des 'Cisco IOS Software Checker' (siehe Referenzen) identifiziert werden, wenn diese nicht im Abschnitt 'Fixed Software' der einzelnen Sicherheitshinweise des Herstellers direkt genannt werden.