Cisco schließt teils hochriskante Lücken in IOS XR und Contact Center

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Cisco hat Sicherheitsmitteilungen zu Schwachstellen in dem Betriebssystem IOS XR veröffentlicht. Angreifer können ihre Rechte ausweiten oder Dienste mittels Denial-of-Service-Angriffen lahmlegen. Zudem sind Ciscos Contact-Center-Produkte von Cross-Site-Scripting-Lücken betroffen.

Am gravierendsten stuft Netzwerkausrüster Cisco Schwachstellen in IOS XR ein, die lokalen authentifizierten Angreifern das Ausführen von Befehlen als root oder die Übernahme der vollen Kontrolle ermöglichen. Ursachen sind unter anderem unzureichende Filter für Parameter in Kommandozeilen-Befehlen (CVE-2026-20040, CVSS 8.8, Risiko „hoch“) oder ein fehlerhaftes Mapping von Befehlen zu Aufgabengruppen, wodurch sich Checks für diese Aufgabengruppen umgehen lassen (CVE-2026-20046, CVSS 8.8, Risiko „hoch“). In der Sicherheitsmitteilung nennt Cisco die korrigierten Software-Versionen und weitere Details.

Zudem hat Cisco eine Meldung zu einer Denial-of-Service-Lücke in der Intermediate-System-to-Intermediate-System (IS-IS) Multi-Instanz-Routing-Funktion mit zugehörigen Updates herausgegeben (CVE-2026-20074, CVSS 7.4, Risiko „hoch“). Eine weitere Sicherheitsnotiz behandelt eine Schwachstelle im Egress Packet Network Interface (EPNI) „Aligner Interrupt“. Angreifer aus dem Netz können das ebenfalls für Denial-of-Service-Angriffe auf den Netzwerkprozessor und ASIC missbrauchen (CVE-2026-20118, CVSS 6.8, Risiko „mittel“). Abweichend von der CVSS-Einstufung verortet Cisco darin jedoch einen hohen Bedrohungsgrad.

Weitere Schwachstelle in Cisco Contact Center

Daneben warnt Cisco in einer weiteren Sicherheitsmitteilung vor Cross-Site-Scripting-Schwachstellen in den Contact-Center-Produkten Finesse, Packaged Contact Center Enterprise (Packaged CCE), Unified Contact Center Enterprise (Unified CCE), Unified Contact Center Express (Unified CCX) und Cisco Unified Intelligence Center. Bösartige Akteure können die Cross-Site-Scripting-Lücken ohne Authentifizierung aus dem Netz gegen Nutzer und Nutzerinnen des Interfaces etwa für eine Server-Side Request-Forgery-Attacke (SSRF) missbrauchen (CVE-2026-20116, CVE-2026-20117, CVSS 6.1, Risiko „mittel“).

Zu allen genannten Sicherheitsmitteilungen schreibt Cisco, dass sie nach aktuellem Kenntnisstand noch nicht im Internet attackiert werden. IT-Verantwortliche sollten dennoch nicht zögern und die bereitgestellten Aktualisierungen rasch anwenden.

In der vergangenen Woche hatte Cisco bereits Aktualisierungen unter anderem für Secure Firewall Management Center und Webex veröffentlicht. Damit haben die Entwickler weitere Sicherheitslecks geschlossen.

(dmk)