Corrigidas falhas críticas em ISE e Webex

A Cisco anunciou a correção de quatro vulnerabilidades críticas que afetam o Identity Services Engine (ISE) e os serviços Webex, podendo permitir execução remota de código e comprometimento de contas.

As falhas, identificadas com classificações CVSS até 9.9, incluem problemas de validação insuficiente de dados e certificados, abrindo caminho a ataques com elevado impacto em ambientes empresariais.

Uma das vulnerabilidades mais graves, CVE-2026-20184, afeta a integração de single sign-on (SSO) no Webex e pode permitir a um atacante não autenticado fazer-se passar por qualquer utilizador e aceder a serviços legítimos.

Já no caso do Cisco ISE, três falhas distintas (CVE-2026-20147, CVE-2026-20180 e CVE-2026-20186) permitem a execução de código ou comandos no sistema operativo subjacente, através de pedidos HTTP manipulados.

Estas vulnerabilidades podem ser exploradas por atacantes com credenciais administrativas, mesmo que apenas de leitura, possibilitando a escalada de privilégios até root e o controlo do sistema.

Além disso, em ambientes com implementações single-node, a exploração pode causar indisponibilidade do serviço, impedindo a autenticação de novos dispositivos e originando situações de negação de serviço (DoS).

A Cisco disponibilizou atualizações de segurança para mitigar estas falhas em várias versões do ISE, recomendando a aplicação imediata dos patches. No caso do Webex, a mitigação foi aplicada automaticamente, sendo apenas aconselhada a atualização de certificados SAML por parte dos clientes.

Apesar de não existirem, para já, indícios de exploração ativa, a criticidade das falhas leva a Cisco a alertar para a necessidade de atualização urgente.