Vulnérabilité d'injection de commandes Cisco Secure Firewall Management Center
Plateforme
cisco
Composant
cisco-secure-firewall-management-center-fmc
Corrigé dans
6.4.1
6.4.1
6.4.1
6.4.1
6.4.1
6.4.1
6.4.1
6.4.1
6.4.1
6.4.1
6.4.1
6.4.1
6.4.1
7.0.1
7.0.1
7.0.2
7.1.1
6.4.1
7.0.2
6.4.1
7.1.1
7.0.3
6.4.1
7.2.1
7.0.3
7.0.4
7.1.1
7.2.1
7.0.5
7.2.2
7.0.6
6.4.1
7.3.1
7.2.3
7.3.2
7.2.4
7.1.1
7.2.4
7.2.5
7.0.7
7.2.5
7.2.6
7.3.2
7.4.1
6.4.1
7.0.7
7.2.6
7.4.2
7.2.7
7.4.2
7.0.7
6.4.1
7.2.8
7.2.6
7.3.2
7.2.9
7.6.1
7.4.3
7.2.9
7.0.7
7.4.3
7.2.10
7.0.8
7.7.1
7.4.3
7.2.11
7.6.2
7.4.3
7.0.9
7.6.3
7.7.11
7.2.11
7.0.9
7.6.3
7.2.11
7.7.11
7.4.3
7.4.4
La vulnérabilité CVE-2026-20044 concerne une faille d'injection de commandes dans Cisco Secure Firewall Management Center (FMC). Cette vulnérabilité permet à un attaquant authentifié local d'exécuter des commandes arbitraires avec les privilèges root, même lorsque le système est en mode verrouillage. Elle affecte les versions de FMC comprises entre 6.4.0 et 7.7.10.1. Cisco recommande d'appliquer les correctifs de sécurité disponibles.
Impact et Scénarios d'Attaque
Un attaquant exploitant avec succès cette vulnérabilité pourrait prendre le contrôle complet du système Cisco Secure Firewall Management Center. L'attaquant pourrait exécuter des commandes arbitraires, accéder à des données sensibles, modifier la configuration du pare-feu, et potentiellement compromettre d'autres systèmes connectés au réseau. Le mode verrouillage, conçu pour restreindre l'accès administratif, est contourné, ce qui augmente significativement le risque. Cette faille pourrait être exploitée pour des attaques de type 'rootkit', permettant à l'attaquant de maintenir une persistance sur le système compromis.
Contexte d'Exploitation
Cette vulnérabilité a été rendue publique le 4 mars 2026. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques ne sont pas encore disponibles, mais la nature de l'injection de commandes rend l'exploitation potentiellement réalisable pour des acteurs disposant de compétences techniques.
Qui Est à Risquetraduction en cours…
Organizations heavily reliant on Cisco Secure Firewall Management Center for centralized firewall management are at significant risk. Specifically, environments with legacy FMC versions (6.4.0–7.7.10.1) that have not been regularly patched are particularly vulnerable. Shared hosting environments utilizing FMC instances also face increased risk due to potential cross-tenant vulnerabilities.
Étapes de Détectiontraduction en cours…
• linux / server:
journalctl -u cfmc | grep -i "command injection"• linux / server:
lsof -i :8080 | grep cfmc• generic web:
curl -I https://<fmc_ip>/system/cli | grep "X-Powered-By"Chronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Local — l'attaquant a besoin d'une session locale ou d'un shell sur le système.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Élevé — un compte administrateur ou privilégié est requis.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à appliquer les correctifs de sécurité publiés par Cisco. En attendant l'application du correctif, il est recommandé de restreindre l'accès à l'interface CLI du FMC et de surveiller attentivement les journaux système pour détecter toute activité suspecte. Il est également conseillé de désactiver les modules de remédiation non essentiels. Vérifiez après l'application du correctif que le mode verrouillage fonctionne comme prévu et que les commandes CLI sont correctement restreintes.
Comment corriger
Mettez à jour Cisco Secure Firewall Management Center (FMC) vers une version qui n'est pas affectée par cette vulnérabilité. Consultez l'avis Cisco pour plus de détails sur les versions corrigées et les instructions de mise à jour.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentestraduction en cours…
What is CVE-2026-20044 — Command Injection in Cisco Secure Firewall FMC?
CVE-2026-20044 is a Command Injection vulnerability affecting Cisco Secure Firewall Management Center (FMC) versions 6.4.0–7.7.10.1, allowing authenticated attackers to execute commands as root.
Am I affected by CVE-2026-20044 in Cisco Secure Firewall FMC?
If you are running Cisco Secure Firewall Management Center versions 6.4.0 through 7.7.10.1, you are potentially affected by this vulnerability. Check your version and upgrade accordingly.
How do I fix CVE-2026-20044 in Cisco Secure Firewall FMC?
The recommended fix is to upgrade to a patched version of Cisco Secure Firewall Management Center. Refer to the official Cisco advisory for specific version details.
Is CVE-2026-20044 being actively exploited?
As of now, there are no publicly known active exploits for CVE-2026-20044, but the potential for root access warrants immediate attention and mitigation.
Where can I find the official Cisco advisory for CVE-2026-20044?
Please refer to the official Cisco Security Advisory for CVE-2026-20044 on the Cisco website (search for 'CVE-2026-20044 Cisco').
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.