Threats
A Cisco lançou atualizações de segurança para quatro vulnerabilidades de elevada gravidade no sistema operativo IOS XR, que podem permitir execução de comandos, escalada de privilégios ou ataques de negação de serviço
13/03/2026
|
A Cisco divulgou um novo conjunto de atualizações de segurança para o IOS XR, o sistema operativo utilizado em equipamentos de rede de alto desempenho, corrigindo quatro vulnerabilidades classificadas como de elevada gravidade. Entre as falhas mais críticas estão CVE-2026-20040 e CVE-2026-20046 que podem permitir a um atacante executar comandos arbitrários como root ou obter controlo administrativo sobre dispositivos vulneráveis. A vulnerabilidade CVE-2026-20040 resulta de uma validação insuficiente dos argumentos introduzidos em determinados comandos da interface de linha de comandos. Um atacante com privilégios limitados pode explorar esta falha para introduzir comandos manipulados e elevar os seus privilégios. Segundo a Cisco, uma exploração bem-sucedida poderá permitir executar comandos arbitrários no sistema operativo subjacente com privilégios de root. Já a vulnerabilidade CVE-2026-20046 está relacionada com a forma como um comando específico é associado a grupos de tarefas dentro do código-fonte do sistema. Este erro permite que um utilizador sem privilégios ignore os mecanismos de controlo baseados nesses grupos e obtenha acesso administrativo sem autorização. Além destas falhas, a empresa corrigiu a vulnerabilidade CVE-2026-20074 que afeta a funcionalidade de routing IS-IS multi-instância do IOS XR. Um atacante adjacente e não autenticado pode enviar pacotes manipulados para um dispositivo vulnerável, provocando o reinício do processo IS-IS e uma condição de negação de serviço. Outra falha corrigida, CVE-2026-20118, afeta o processamento de interrupções do Egress Packet Network Interface Aligner. Em condições de tráfego elevado, pacotes manipulados podem causar corrupção de dados e perda persistente de pacotes, resultando também em ataques de negação de serviço. A Cisco disponibilizou correções para todas estas vulnerabilidades e indicou que não tem conhecimento de exploração ativa destas falhas até ao momento. Além do pacote de atualizações do IOS XR, a empresa corrigiu ainda duas vulnerabilidades de gravidade média que afetam soluções como Packaged CCE, Unified CCE, Unified CCX e Unified Intelligence Center. Estas falhas poderiam permitir ataques cross-site scripting por parte de atacantes remotos não autenticados. A Cisco recomenda que as organizações apliquem as atualizações de segurança o mais rapidamente possível para reduzir o risco de exploração. |
Receba todas as novidades na sua caixa de correio!
THREATS
Google desmantela campanha global que visava telecomunicações e governos
NEWS
Portugal acolhe hackathon da Comissão Europeia no setor da defesa
THREATS
Ataques em 2026 exploram confiança em vez de vulnerabilidades
THREATS
CNCS alerta para falha crítica
ITS CONF
Coordenador do CNCS abre segunda edição da IT Security Summit Porto 2026
THREATS
Nova variante do ataque ClickFix usa Windows Terminal para contornar mecanismos de deteção
THREATS
CISA alerta para falhas Apple exploradas em ataques
THREATS
Ataques InstallFix distribuem malware via guias CLI
THREATS
Google corrige vulnerabilidades críticas no Chrome
THREATS
Patches corrigem falhas críticas em appliances de rede
