Podatność w interfejsie webowym Cisco Secure Firewall Management Center (FMC) umożliwia nieuwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnego kodu Java z uprawnieniami root. Podatność otrzymała maksymalny wynik CVSS 10.0 i jest aktywnie wykorzystywana w atakach.
▸ Pokaż oryginał (EN)
A vulnerability in the web-based management interface of Cisco Secure Firewall Management Center (FMC) Software could allow an unauthenticated, remote attacker to execute arbitrary Java code as root on an affected device. This vulnerability is due to insecure deserialization of a user-supplied Java byte stream. An attacker could exploit this vulnerability by sending a crafted serialized Java object to the web-based management interface of an affected device. A successful exploit could allow the attacker to execute arbitrary code on the device and elevate privileges to root. Note: If the FMC management interface does not have public internet access, the attack surface that is associated with this vulnerability is reduced.
Podatność wynika z niebezpiecznej deserializacji strumienia bajtów Java dostarczonego przez użytkownika (CWE-502). Atakujący wysyła spreparowany, zserializowany obiekt Java do interfejsu zarządzania webowego podatnego urządzenia. Brak uwierzytelnienia wymaganego do przeprowadzenia ataku oraz brak ograniczeń po stronie sieci (jeśli interfejs jest dostępny z internetu) sprawiają, że eksploitacja jest wyjątkowo prosta. Skuteczne wykorzystanie podatności prowadzi do wykonania dowolnego kodu oraz eskalacji uprawnień do poziomu root.
Atakujący uzyskuje pełną kontrolę nad urządzeniem z uprawnieniami root, co umożliwia wykonanie dowolnych poleceń, kradzież danych konfiguracyjnych, modyfikację polityk bezpieczeństwa firewall oraz potencjalny lateral movement w sieci ofiary.
Należy natychmiast zastosować patche dostępne u producenta zgodnie z oficjalnym Cisco Security Advisory (https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh). Jako doraźny środek ograniczający powierzchnię ataku należy upewnić się, że interfejs zarządzania FMC nie jest dostępny z publicznego internetu — zgodnie z uwagą producenta ogranicza to ryzyko eksploitacji.
Cisco Secure Firewall Management Center (FMC) Software — konkretne wersje wskazane w referencjach producenta (Cisco Security Advisory cisco-sa-fmc-rce-NKhnULJh)
Podatność jest aktywnie exploitowana. Według referencji dołączonych do wpisu CVE, Amazon Threat Intelligence zidentyfikował kampanię ransomware grupy Interlock wymierzoną w enterprise firewalle, powiązaną z tą podatnością.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HCisco Secure Firewall Management Center
APPCisco10.0.06.4.0.136.4.0.146.4.0.156.4.0.166.4.0.176.4.0.187.0.07.0.0.17.0.17.0.1.17.0.27.0.2.17.0.37.0.4+ 56 więcej
CISA KEV — szczegółyi
- Dostawcai
- Cisco ↗
- Produkti
- Secure Firewall Management Center (FMC)
- Data dodania do KEVi
- 19 marca 2026
- Termin remediation (USA)i
- 22 marca 2026(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z obowiązującymi wskazówkami BOD 22-01 dla usług chmurowych, lub zaprzestań korzystania z produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Oprogramowanie Cisco Secure Firewall Management Center (FMC) oraz Cisco Security Cloud Control (SCC) Firewall Management zawierają lukę w deserializacji niezaufanych danych w interfejsie zarządzania opartym na sieci Web, która może pozwolić nieuwierzytelnionemu zdalnemuu atakującemu na wykonanie arbitralnego kodu Java z uprawnieniami root na zainfekowanym urządzeniu.
▸ Pokaż oryginał (EN)
Cisco Secure Firewall Management Center (FMC) Software and Cisco Security Cloud Control (SCC) Firewall Management contain a deserialization of untrusted data vulnerability in the web-based management interface that could allow an unauthenticated, remote attacker to execute arbitrary Java code as root on an affected device.
Powiązane podatności
RCE przez RADIUS w Cisco Secure Firewall Management Center
Command injection w Cisco Secure Firewall Management Center — RCE jako root
A vulnerability in the web services interface of Cisco Firepower Management Center (FMC) Software could allow ...
A vulnerability in the web-based management interface of Cisco Firepower Management Center (FMC) could allow a...
Multiple vulnerabilities in Cisco Firepower Management Center (FMC) Software and Cisco Firepower User Agent So...