Cisco i F5 opublikowały w tym tygodniu poprawki dla wielu luk w zabezpieczeniach swoich produktów, w tym dla poważnych podatności, które mogą prowadzić do odmowy usługi (DoS), wykonywania poleceń i eskalacji uprawnień.

Autor: 3 min czytania

Poprawki Cisco

Cisco wdrożyło poprawki dla pięciu luk w zabezpieczeniach, w tym dwóch błędów o wysokim stopniu zagrożenia w oprogramowaniu TelePresence Collaboration Endpoint (CE) i RoomOS oraz Meeting Management.

Pierwsza z luk, oznaczona jako CVE-2026-20119, może zostać wykorzystana zdalnie, bez uwierzytelniania lub bez interakcji użytkownika, powodując DoS poprzez wysłanie spreparowanego zaproszenia na spotkanie do podatnego urządzenia. Cisco naprawiło lukę w oprogramowaniu TelePresence CE i RoomOS w wersjach 11.27.5.0 i 11.32.3.0.

Druga luka, oznaczona jako CVE-2026-20098 i usunięta w systemie Meeting Management w wersji 3.12.1 MR, występuje, ponieważ interfejs zarządzania siecią nie weryfikuje prawidłowo danych wprowadzanych przez użytkownika, co umożliwia uwierzytelnionym atakującym wysyłanie spreparowanych żądań.

Udane wykorzystanie podatności pozwala atakującym posiadającym co najmniej uprawnienia operatora wideo na przesyłanie dowolnych plików, w tym plików systemowych przetwarzanych przez konto root, co prowadzi do wykonania polecenia z uprawnieniami roota.

Cisco usunęło również trzy luki bezpieczeństwa o średnim stopniu zagrożenia w systemach AsyncOS for Secure Web Appliance, Prime Infrastructure i Evolved Programmable Network Manager (EPNM).

Przedstawiciele firmy twierdzą, że nie mają informacji o wykorzystaniu podatności w praktyce. Szczegóły można znaleźć na stronie Cisco z ostrzeżeniami dotyczącymi bezpieczeństwa.

Poprawki F5

W ostatnią środę F5 opublikowało kwartalne powiadomienie dotyczące bezpieczeństwa, w którym opisano pięć luk o średnim i niskim stopniu ważności, które zostały załatane w BIG-IP i NGINX. W oparciu o system punktacji CVSS 4.0, dwa z błędów mają ocenę wysokiej ważności.

Pierwszym z nich jest CVE-2026-22548, błąd BIG-IP, który może zostać wykorzystany do wywołania DoS poprzez ponowne uruchomienie procesu bd i zakłócenie ruchu.

„Gdy na serwerze wirtualnym skonfigurowana jest polityka bezpieczeństwa BIG-IP Advanced WAF lub ASM, nieujawnione żądania wraz z warunkami pozostającymi poza kontrolą atakującego mogą spowodować zakończenie procesu bd” – wyjaśnia F5.

Drugi problem, CVE-2026-1642, dotyczy instancji NGINX OSS i NGINX Plus skonfigurowanych do obsługi serwerów proxy TLS nadrzędnych. Umożliwia atakującemu typu man-in-the-middle (MitM) wstrzykiwanie odpowiedzi, które potencjalnie mogą być wysłane do klientów.

Firma F5 ogłosiła również poprawki luki o średnim stopniu zagrożenia w usługach wejścia kontenerów BIG-IP dla Kubernetes i OpenShift oraz luki o niskim stopniu zagrożenia w kliencie BIG-IP Edge i klientach VPN przeglądarek w systemie Windows, a także w narzędziu konfiguracji BIG-IP.

Problemy mogą prowadzić do ujawnienia wrażliwych informacji klastra i innych poufnych danych, a także do podszywania się pod komunikaty o błędach (np. nakłaniając użytkowników do klikania w złośliwe linki).

F5 nie wspomina o wykorzystaniu tych luk w praktyce.