思科修補Secure FMC兩個滿分漏洞
漏洞概述
思科(Cisco)本週釋出安全更新,以修補防火牆管理軟體Secure FMC(Secure Firewall Management Center)兩個風險值10.0的漏洞。兩項漏洞皆為風險值滿分(CVSS分數為10.0)的重大漏洞,若管理介面暴露在網際網路上,攻擊者可能獲取企業防火牆的Root權限。
漏洞細節
該漏洞位於Secure FMC的Web管理介面中,根源是系統對來自網絡的輸入數據流處理不當。攻擊者可透過惡意輸入資料流,觸發不安全的反序列化行為,進而執行遠端程式碼。
風險與影響
若Secure FMC配置為使用RADIUS進行身份驗證,無論是網頁管理介面、SSH管理介面,或兩者皆是,攻擊者皆可能利用此漏洞進行攻擊。思科已發布修補更新,但沒有暫時性緩解方案,呼籲企業必須儘速安裝新版本軟體。
相關漏洞編號
- CVE-2026-20079:源自開機時產生不當的系統流程,攻擊者可對Secure FMC網頁管理介面進行攻擊。
- CVE-2026-20131:為遠端程式碼執行(RCE)漏洞,出於驗證階段對使用者輸入處理不當。
建議措施
思科強調,目前沒有暫時性解決方法,建議企業立即升級至最新版本的Secure FMC,以避免遭受攻擊。