Cisco patcht 4 kritische Sicherheitslücken (CVSS bis zu 9.9) in Webex und ISE

Veröffentlicht am 17. April 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Noch eine kurze Information für Leser die für die Absicherung von Ciscos Lösungen Webex und ISE zuständig sind. Cisco hat gleich vier kritische Sicherheitslücken, der CVSS-Score reicht bis zu 9.9, in seiner Konferenzsoftware Webex und in ISE per Sicherheitsupdate geschlossen. Sofern noch nicht passiert, sollte gepatcht werden.

Cisco Webex ist eine Software für Webkonferenzen und Videokonferenzen, die vom US-Unternehmen entwickelt und vertrieben wird. Webex ist in Unternehmen wohl recht breit im Einsatz. Die Cisco Identity Services Engine (ISE) ist eine Sicherheitsplattform für die Netzwerkzugriffskontrolle (NAC), die Benutzer und Geräte (IoT/OT) identifiziert, authentifiziert und Richtlinien im Netzwerk durchsetzt. Sie ermöglicht Zero-Trust-Sicherheit durch zentrale Kontrolle, automatisierte Bedrohungseindämmung und Mandantenfähigkeit über kabelgebundene, kabellose und VPN-Verbindungen.

Schwachstellen in Webex und ISE

Die Information, dass es schwere Sicherheitslücken in  Cisco Webex und ISE gibt, ist mir bereits gestern über diverse Tweets und Web-Artikel (z.B. bei Bleeping Computer) untergekommen.

Cisco Schwachstelle in Webex und ISE

The Hacker News hat die in den letzten Tagen geschlossenen Schwachstellen in diesem Artikel zusammen getragen.

  • CVE-2026-20184 (CVSS Score: 9.8): Eine fehlerhafte Zertifikatsüberprüfung bei der Integration von Single Sign-On (SSO) mit Control Hub in Webex Services, die es einem nicht authentifizierten Angreifer aus der Ferne ermöglichen könnte, sich als beliebiger Benutzer innerhalb des Dienstes auszugeben und sich unbefugten Zugriff auf legitime Cisco Webex-Dienste zu verschaffen.
  • CVE-2026-20147 (CVSS score: 9.9): Eine Schwachstelle in der Identity Services Engine (ISE) und im ISE Passive Identity Connector (ISE-PIC) im Zusammenhang mit der unzureichenden Validierung von Benutzereingaben, die es einem authentifizierten Angreifer aus der Ferne, der über gültige Administratorrechte verfügt, ermöglichen könnte, durch das Senden manipulierter HTTP-Anfragen Code remote auszuführen.
  • CVE-2026-20180, CVE-2026-20186 (CVSS scores: 9.9): Mehrere Schwachstellen in ISE aufgrund unzureichender Validierung von Benutzereingaben könnten es einem authentifizierten Angreifer aus der Ferne, der über Admin-Zugangsdaten mit Lesezugriff verfügt, ermöglichen, durch das Senden manipulierter HTTP-Anfragen beliebige Befehle auf dem zugrunde liegenden Betriebssystem eines betroffenen Geräts auszuführen.

Details zu den betroffenen Produktversionen sowie Hinweise zu den Updates lassen sich den verlinkten Cisco-Sicherheitshinweisen entnehmen.

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.