文章总结： 思科发布安全更新修复两个严重级和六个高危级漏洞，其中CVE-2026-20093允许攻击者通过恶意HTTP请求绕过IMC身份验证并重置密码，CVE-2026-20160可使未授权攻击者以root权限执行系统命令。思科强烈建议用户升级至已修复版本，并提到3月修复的CVE-2026-20131零日漏洞已被勒索软件利用且被CISA列入强制修复目录。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,解决方案,政策法规,网络安全

思科修复了高危及严重级别的漏洞

鹏鹏同学 鹏鹏同学

黑猫安全

2026年4月3日 08:49 湖北

思科发布补丁，修复两个严重级和六个高危级漏洞。这些漏洞可能导致攻击者绕过身份验证、执行恶意代码、提升权限并访问敏感信息。

其中一个严重漏洞编号为 CVE-2026-20093（CVSS 评分 9.8），存在于思科集成管理控制器（IMC）中，远程攻击者可通过构造恶意 HTTP 请求绕过身份验证，进而修改包括管理员在内的用户密码，获取系统完全控制权。

思科集成管理控制器（IMC）是思科服务器内置的管理系统，可让管理员对服务器进行远程管控与监控，即便操作系统已关机或出现故障也可操作。

思科同时修复了 SSM On-Prem 中的另一严重漏洞，编号CVE-2026-20160（CVSS 评分 9.8），该漏洞允许未授权攻击者通过构造 API 请求，以 root 权限在主机操作系统上执行命令。

思科产品安全事件响应团队（PSIRT）目前尚未发现针对上述漏洞的利用代码或概念验证（PoC），但这家网络巨头强烈建议用户升级至已打补丁的软件版本。

今年 3 月，思科曾修复 Secure Firewall 防火墙管理中心（FMC）中的一个严重远程代码执行零日漏洞，编号CVE-2026-20131（CVSS 满分 10.0），该漏洞已被 Interlock 勒索软件组织利用。美国网络安全和基础设施安全局（CISA）已将此漏洞列入已知被利用漏洞（KEV）目录，并要求联邦机构在三日内完成补丁修复。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《思科修复了高危及严重级别的漏洞》