CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2026-20131

RCE przez insecure deserialization w Cisco Secure Firewall Management Center

CVSS 10.0v3.1pub. 2026-03-04upd. 2026-03-25

Podatność w interfejsie webowym Cisco Secure Firewall Management Center (FMC) umożliwia nieuwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnego kodu Java z uprawnieniami root. Podatność otrzymała maksymalny wynik CVSS 10.0 i jest aktywnie wykorzystywana w atakach.

Pokaż oryginał (EN)

A vulnerability in the web-based management interface of Cisco Secure Firewall Management Center (FMC) Software could allow an unauthenticated, remote attacker to execute arbitrary Java code as root on an affected device. This vulnerability is due to insecure deserialization of a user-supplied Java byte stream. An attacker could exploit this vulnerability by sending a crafted serialized Java object to the web-based management interface of an affected device. A successful exploit could allow the attacker to execute arbitrary code on the device and elevate privileges to root. Note: If the FMC management interface does not have public internet access, the attack surface that is associated with this vulnerability is reduced.

🤖 Analiza AI
Jak działa

Podatność wynika z niebezpiecznej deserializacji strumienia bajtów Java dostarczonego przez użytkownika (CWE-502). Atakujący wysyła spreparowany, zserializowany obiekt Java do interfejsu zarządzania webowego podatnego urządzenia. Brak uwierzytelnienia wymaganego do przeprowadzenia ataku oraz brak ograniczeń po stronie sieci (jeśli interfejs jest dostępny z internetu) sprawiają, że eksploitacja jest wyjątkowo prosta. Skuteczne wykorzystanie podatności prowadzi do wykonania dowolnego kodu oraz eskalacji uprawnień do poziomu root.

Skutki

Atakujący uzyskuje pełną kontrolę nad urządzeniem z uprawnieniami root, co umożliwia wykonanie dowolnych poleceń, kradzież danych konfiguracyjnych, modyfikację polityk bezpieczeństwa firewall oraz potencjalny lateral movement w sieci ofiary.

Mitygacja

Należy natychmiast zastosować patche dostępne u producenta zgodnie z oficjalnym Cisco Security Advisory (https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh). Jako doraźny środek ograniczający powierzchnię ataku należy upewnić się, że interfejs zarządzania FMC nie jest dostępny z publicznego internetu — zgodnie z uwagą producenta ogranicza to ryzyko eksploitacji.

Kogo dotyczy

Cisco Secure Firewall Management Center (FMC) Software — konkretne wersje wskazane w referencjach producenta (Cisco Security Advisory cisco-sa-fmc-rce-NKhnULJh)

Uwagi

Podatność jest aktywnie exploitowana. Według referencji dołączonych do wpisu CVE, Amazon Threat Intelligence zidentyfikował kampanię ransomware grupy Interlock wymierzoną w enterprise firewalle, powiązaną z tą podatnością.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Cisco Secure Firewall Management Center

    APP
    Cisco
    10.0.06.4.0.136.4.0.146.4.0.156.4.0.166.4.0.176.4.0.187.0.07.0.0.17.0.17.0.1.17.0.27.0.2.17.0.37.0.4+ 56 więcej

CISA KEV — szczegółyi

Dostawcai
Cisco
Produkti
Secure Firewall Management Center (FMC)
Data dodania do KEVi
19 marca 2026
Termin remediation (USA)i
22 marca 2026(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z obowiązującymi wskazówkami BOD 22-01 dla usług chmurowych, lub zaprzestań korzystania z produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Oprogramowanie Cisco Secure Firewall Management Center (FMC) oraz Cisco Security Cloud Control (SCC) Firewall Management zawierają lukę w deserializacji niezaufanych danych w interfejsie zarządzania opartym na sieci Web, która może pozwolić nieuwierzytelnionemu zdalnemuu atakującemu na wykonanie arbitralnego kodu Java z uprawnieniami root na zainfekowanym urządzeniu.

tłumaczenie AI
Pokaż oryginał (EN)

Cisco Secure Firewall Management Center (FMC) Software and Cisco Security Cloud Control (SCC) Firewall Management contain a deserialization of untrusted data vulnerability in the web-based management interface that could allow an unauthenticated, remote attacker to execute arbitrary Java code as root on an affected device.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 22 marca 2026
Tagi
RCEDeserializationFirewall
CWE
Referencje

Powiązane podatności

CVE-2025-20265CRITICAL10.0PL ✓ten sam produkt

RCE przez RADIUS w Cisco Secure Firewall Management Center

CVE-2024-20424CRITICAL9.9PL ✓ten sam produkt

Command injection w Cisco Secure Firewall Management Center — RCE jako root

CVE-2023-20048CRITICAL9.9ten sam produkt

A vulnerability in the web services interface of Cisco Firepower Management Center (FMC) Software could allow ...

CVE-2019-16028CRITICAL9.8ten sam produkt

A vulnerability in the web-based management interface of Cisco Firepower Management Center (FMC) could allow a...

CVE-2020-3318CRITICAL9.8ten sam produkt

Multiple vulnerabilities in Cisco Firepower Management Center (FMC) Software and Cisco Firepower User Agent So...