文章总结： 思科修复了SecureFirewallManagementCenter中的两个CVSS满分漏洞CVE-2026-20079和CVE-2026-20131。前者允许未经认证的攻击者绕过认证获取root权限，后者利用不安全Java反序列化实现远程代码执行。思科PSIRT表示尚未发现漏洞被公开披露或利用，目前无临时缓解措施，建议用户尽快升级修复以确保防火墙管理安全。 综合评分： 80 文章分类： 漏洞预警,漏洞分析,网络安全

思科修复两大CVSS 10分Secure FMC漏洞

FreeBuf

2026年3月8日 18:03 上海

#

Part01

漏洞概况

思科修复了其Secure Firewall Management Center（FMC，安全防火墙管理中心）中的两个最高危漏洞，攻击者可能借此获取受管理防火墙的root权限。Secure FMC是思科防火墙的集中管理平台，管理员可通过单一Web或SSH界面配置、监控和控制多台防火墙。通过该平台，团队可管理入侵防御（IPS）、应用控制、URL过滤、高级恶意软件防护等策略，以及日志记录、报告和整体网络安全态势。

Part02

CVE-2026-20079：认证绕过漏洞

该漏洞存在于Secure FMC的Web界面，允许未经认证的远程攻击者绕过认证机制，通过发送特制HTTP请求执行脚本，最终可能获取底层操作系统的root权限。思科安全公告指出：”该漏洞源于系统启动时创建的不当进程。攻击者可向受影响设备发送特制HTTP请求实施利用，成功利用将允许执行多种脚本和命令，从而获取设备root权限。”

Part03

CVE-2026-20131：远程代码执行漏洞

该漏洞同样存在于Secure FMC的Web界面，允许未经认证的远程攻击者利用不安全的Java反序列化机制，通过发送特制序列化对象以root身份执行任意代码。公告说明：”该漏洞由用户提供的Java字节流反序列化不安全导致。攻击者可向受影响设备的Web管理界面发送特制序列化Java对象实施利用，成功利用将允许在设备上执行任意代码并提升至root权限。”此漏洞同时影响思科Security Cloud Control（SCC）防火墙管理系统。

Part04

漏洞利用情况

思科产品安全事件响应团队（PSIRT）表示尚未发现这两个漏洞被公开披露或主动利用的情况。该公司强调目前没有针对这些漏洞的有效临时解决方案。

参考来源：

Cisco fixes maximum-severity Secure FMC bugs threatening firewall security

Cisco fixes maximum-severity Secure FMC bugs threatening firewall security

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《思科修复两大CVSS 10分Secure FMC漏洞》