Компания Cisco выпустила обновления безопасности для продукта Catalyst Center, закрывающие уязвимость CVE-2026-20191, позволяющую неавторизованному удаленному атакующему читать произвольные файлы из ограниченного контейнера. Проблеме присвоен высокий уровень опасности по шкале CVSS - 7,5 балла. Уведомление об этом опубликовано 1 июля 2026 года. Уязвимость была обнаружена в ходе разбора обращения в техническую поддержку Cisco TAC.
Уязвимость CVE-2026-20191
Причина уязвимости кроется в недостаточной проверке пользовательского ввода. Злоумышленник может отправить на устройство специально сформированный HTTP-запрос, после чего получит возможность читать произвольные файлы внутри изолированного контейнера, в котором работает Catalyst Center. Для эксплуатации не требуется аутентификация, что делает проблему особенно опасной.
Под атаку попадают все версии Cisco Catalyst Center - как виртуальные, так и аппаратные, независимо от конфигурации. Исключение составляют релизы ниже 3.1 для аппаратных и облачных развёртываний (на AWS и Azure). Для виртуальных машин на VMware ESXi уязвимыми признаны версии 2.3.7 и 3.1. Более ранние выпуски для этой платформы, как указано в бюллетене, не подвержены риску.
Cisco Catalyst Center - это платформа для централизованного управления сетевыми ресурсами. Она широко применяется в корпоративных сетях для настройки, мониторинга и автоматизации. Доступ к файлам внутри контейнера может дать злоумышленнику возможность извлечь конфиденциальные данные: учётные записи, конфигурации устройств, ключи доступа и другую информацию, хранящуюся в файловой системе. Это создаёт предпосылки для развития более серьёзных атак, таких как горизонтальное перемещение внутри сети или подмена конфигураций.
На момент публикации уведомления компания Cisco не располагала сведениями о публичных анонсах или злонамеренном использовании CVE-2026-20191. Тем не менее, учитывая высокий CVSS-балл и отсутствие обходных путей, специалисты Cisco настоятельно рекомендуют как можно скорее обновить программное обеспечение до исправленных версий.
В бюллетене приведены точные номера релизов, в которых устранена уязвимость. Для аппаратных устройств и виртуальных машин на AWS и Azure необходимо обновиться до версии 3.1.6 GSMU200. Для Catalyst Center, развёрнутого на VMware ESXi, исправление доступно в версии 2.3.7.11-VA GSMU100 и 3.1.6 GSMU200. Следует учитывать, что разработчики не предлагают временных обходных решений - единственным способом защиты является установка патча.
Корпоративным клиентам, использующим Catalyst Center в продуктивной среде, рекомендуется незамедлительно проверить текущие версии и спланировать обновление в ближайшее окно технического обслуживания. Учитывая, что эксплуатация уязвимости не требует аутентификации, задержка с установкой исправления может привести к компрометации системы управления сетью.
Выпуск обновлений последовал за плановым циклом обработки заявок в Cisco TAC. Это ещё раз напоминает о важности своевременного информирования вендора о нестандартном поведении продуктов, поскольку такие обращения нередко приводят к обнаружению критических дефектов безопасности.
Ситуация с CVE-2026-20191 характерна для современного ландшафта угроз: уязвимости в системах управления становятся одной из самых опасных категорий. Злоумышленники всё чаще нацелены именно на центральные узлы администрирования, где сконцентрированы ключевые данные и управляющие интерфейсы. Поэтому производители, такие как Cisco, вынуждены оперативно реагировать на подобные находки.
Пользователям, чьи версии Catalyst Center не подпадают под уязвимые (например, релизы ниже 3.1 для аппаратных устройств), всё же рекомендуется ознакомиться с бюллетенем полного текста и принять к сведению, что более старые версии могут содержать другие проблемы безопасности. Плановые обновления до актуальных стабильных сборок остаются лучшей практикой.
Таким образом, организациям, эксплуатирующим Catalyst Center, необходимо безотлагательно установить патчи, чтобы исключить риск удалённого чтения файлов без аутентификации. Отсутствие обходных мер оставляет лишь один вариант - обновление до указанных версий.
Ссылки