Bollettino 96/2026

descrizione

Si segnala la pubblicazione, da parte di Cisco, di tre di sicurezza relativi ad altrettante vulnerabilità di elevata criticità, che interessano diversi prodotti dell’ecosistema.
Identificate come CVE‑2026‑20160, CVE‑2026‑20093 e CVE‑2026‑20155, le problematiche impattano componenti destinati alla gestione delle licenze, al management hardware out‑of‑band e alla gestione centralizzata delle reti, con potenziali conseguenze severe in termini di compromissione dei sistemi e delle infrastrutture aziendali.

La vulnerabilità CVE‑2026‑20160 interessa Cisco Smart Software Manager On‑Prem (SSM On‑Prem) e consente a un attaccante remoto non autenticato di ottenere esecuzione arbitraria di comandi sul sistema operativo sottostante con privilegi root. Il difetto è causato dall’esposizione non intenzionale di un servizio interno accessibile tramite API. L’attacco non richiede credenziali né interazione da parte dell’utente e può portare alla compromissione completa del server che ospita l’applicazione. Cisco ha classificato questa vulnerabilità come Critical, con punteggio CVSS v3.1 pari a 9.8.

La vulnerabilità CVE‑2026‑20093 interessa invece Cisco Integrated Management Controller (IMC) ed è riconducibile a un errore nella gestione delle richieste di cambio password tramite interfaccia web. Un attaccante remoto non autenticato può inviare richieste HTTP appositamente predisposte per bypassare completamente i meccanismi di autenticazione, modificare le credenziali di qualsiasi utente, incluso l’amministratore, e ottenere l’accesso al sistema con privilegi elevati. La vulnerabilità impatta numerosi sistemi hardware Cisco, inclusi server UCS e un ampio insieme di appliance basate su tali piattaforme. Anche in questo caso, la severità è classificata come Critical (CVSS 9.8).

La vulnerabilità CVE‑2026‑20155 colpisce Cisco Evolved Programmable Network Manager (EPNM) ed è causata da controlli di autorizzazione non corretti su un endpoint REST dell’interfaccia di gestione web. Un utente remoto autenticato con privilegi limitati può sfruttare tale debolezza per accedere a informazioni sensibili relative alle sessioni di altri utenti, inclusi amministratori, con possibili scenari di compromissione dell’apparato. Cisco ha assegnato a questa vulnerabilità un punteggio CVSS v3.1 pari a 8.0.

note

Le vulnerabilità impattano rispettivamente Cisco Smart Software Manager On-Prem, Cisco Integrated Management Controller (inclusi server UCS e appliance correlate) e Cisco Evolved Programmable Network Manager.
Nessuna delle vulnerabilità richiede interazione utente o credenziali per l'exploit iniziale (eccetto CVE-2026-20155 che richiede autenticazione con privilegi limitati).
Cisco ha rilasciato patch risolutive e non sono disponibili workaround o mitigazioni alternative.
Si raccomanda l'aggiornamento immediato dei sistemi coinvolti, soprattutto se esposti a reti non fidate.
Non sono segnalati exploit attivi in the wild né problemi noti relativi agli aggiornamenti.
Priorità tecnica: critica per CVE-2026-20160 e CVE-2026-20093, alta per CVE-2026-20155.

CVE

CVE	CVSS-3.1	CVSS-4.0	EPSS
CVE-2026-20093	10.0	--	0.028% \| 8.04%
CVE-2026-20160	10.0	--	0.228% \| 45.60%
CVE-2026-20155	8.0	--	0.126% \| 31.91%

tipi di attacco

CWE	descrizione
CWE-668	Exposure of Resource to Wrong Sphere
CWE-20	Improper Input Validation
CWE-862	Missing Authorization

prodotti impattati

vendor	prodotto & versioni
cisco	cisco enterprise nfv infrastructure software Da: 4.9.6 Da: 4.9.5 Da: 4.9.4-FC3 Da: 4.9.4-ES9 Da: 4.9.4-ES8 Da: 4.9.4 Da: 4.9.3 Da: 4.9.2-FC5 Da: 4.9.2 Da: 4.9.1 Da: 4.8.2 Da: 4.8.1 Da: 4.7.1 Da: 4.6.5-ES1 Da: 4.6.4 Da: 4.6.3-FC4 Da: 4.6.3 Da: 4.6.2-FC3 Da: 4.6.2-FC2 Da: 4.6.2 Da: 4.6.1 Da: 4.5.1 Da: 4.4.3 Da: 4.4.2 Da: 4.4.1 Da: 4.2.2 Da: 4.2.1 Da: 4.18.2a Da: 4.18.2 Da: 4.18.1 Da: 4.16.1 Da: 4.15.4 Da: 4.15.3 Da: 4.15.2 Da: 4.15.1 Da: 4.14.1 Da: 4.13.1 Da: 4.12.6 Da: 4.12.5 Da: 4.12.4 Da: 4.12.3 Da: 4.12.2 Da: 4.12.1 Da: 4.11.1 Da: 4.10.1 Da: 4.1.2 Da: 4.1.1 Da: 3.9.2 Da: 3.9.1 Da: 3.8.1 Da: 3.7.1 Da: 3.6.3 Da: 3.6.2 Da: 3.6.1 Da: 3.5.2 Da: 3.5.1 Da: 3.4.1 Da: 3.3.1 Da: 3.12.3 Da: 3.12.2 Da: 3.12.1b Da: 3.12.1a Da: 3.12.1 Da: 3.11.3 Da: 3.11.2 Da: 3.11.1 Da: 3.10.3 Da: 3.10.2 Da: 3.10.1 cisco evolved programmable network manager (epnm) Da: 8.1.1 Da: 8.1.0 Da: 8.0.1.1 Da: 8.0.1 Da: 8.0.0.1 Da: 8.0.0 Da: 7.1.4.1 Da: 7.1.4 Da: 7.1.3.1 Da: 7.1.3 Da: 7.1.2.1 Da: 7.1.2 Da: 7.1.1 Da: 7.1.0 cisco smart software manager on-prem Da: 9-202510 Da: 9-202507 Da: 9-202504 Da: 9-202502 cisco unified computing system (standalone) Da: 6.0(1.250131) Da: 6.0(1.250130) Da: 6.0(1.250127) Da: 4.3(6.260003) Da: 4.3(6.250117) Da: 4.3(6.250101) Da: 4.3(6.250060) Da: 4.3(6.250053) Da: 4.3(6.250044) Da: 4.3(6.250040) Da: 4.3(6.250039) Da: 4.3(5.250045) Da: 4.3(5.250043) Da: 4.3(5.250033) Da: 4.3(5.250030) Da: 4.3(5.250001) Da: 4.3(5.240021) Da: 4.3(4.252002) Da: 4.3(4.252001) Da: 4.3(4.242066) Da: 4.3(4.242038) Da: 4.3(4.242028) Da: 4.3(4.241063) Da: 4.3(4.241014) Da: 4.3(4.240152) Da: 4.3(4.240142) Da: 4.3(3.240043) Da: 4.3(3.240022) Da: 4.3(2.250063) Da: 4.3(2.250045) Da: 4.3(2.250037) Da: 4.3(2.250022) Da: 4.3(2.250021) Da: 4.3(2.250016) Da: 4.3(2.240107) Da: 4.3(2.240090) Da: 4.3(2.240077) Da: 4.3(2.240053) Da: 4.3(2.240037) Da: 4.3(2.240009) Da: 4.3(2.240002) Da: 4.3(2.230270) Da: 4.3(2.230207) Da: 4.3(1.230138) Da: 4.3(1.230124) Da: 4.3(1.230097) Da: 4.2(3p) Da: 4.2(3o) Da: 4.2(3n) Da: 4.2(3m) Da: 4.2(3l) Da: 4.2(3j) Da: 4.2(3i) Da: 4.2(3h) Da: 4.2(3g) Da: 4.2(3e) Da: 4.2(3d) Da: 4.2(3b) Da: 4.2(2g) Da: 4.2(2f) Da: 4.2(2a) Da: 4.2(1j) Da: 4.2(1i) Da: 4.2(1g) Da: 4.2(1f) Da: 4.2(1e) Da: 4.2(1c) Da: 4.2(1b) Da: 4.2(1a) Da: 4.1(3n) Da: 4.1(3m) Da: 4.1(3l) Da: 4.1(3i) Da: 4.1(3h) Da: 4.1(3f) Da: 4.1(3d) Da: 4.1(3c) Da: 4.1(3b) Da: 4.1(2m) Da: 4.1(2l) Da: 4.1(2k) Da: 4.1(2j) Da: 4.1(2h) Da: 4.1(2g) Da: 4.1(2f) Da: 4.1(2e) Da: 4.1(2d) Da: 4.1(2b) Da: 4.1(2a) Da: 4.1(1h) Da: 4.1(1g) Da: 4.1(1f) Da: 4.1(1d) Da: 4.1(1c) Da: 4.0(4n) Da: 4.0(4m) Da: 4.0(4l) Da: 4.0(4k) Da: 4.0(4i) Da: 4.0(4h) Da: 4.0(4f) Da: 4.0(4e) Da: 4.0(4d) Da: 4.0(4c) Da: 4.0(4b) Da: 4.0(2r) Da: 4.0(2q) Da: 4.0(2p) Da: 4.0(2o) Da: 4.0(2n) Da: 4.0(2l) Da: 4.0(2i) Da: 4.0(2h) Da: 4.0(2g) Da: 4.0(2f) Da: 4.0(2d) Da: 4.0(2c) Da: 4.0(1h) Da: 4.0(1g) Da: 4.0(1e) Da: 4.0(1d) Da: 4.0(1c) Da: 4.0(1b) Da: 4.0(1a) Da: 4.0(1.240) Da: 3.1(3k) Da: 3.1(3j) Da: 3.1(3i) Da: 3.1(3h) Da: 3.1(3g) Da: 3.1(3d) Da: 3.1(3c) Da: 3.1(3b) Da: 3.1(3a) Da: 3.1(2i) Da: 3.1(2g) Da: 3.1(2e) Da: 3.1(2d) Da: 3.1(2c) Da: 3.1(2b) Da: 3.1(1d) cisco unified computing system e-series software (ucse) Da: 4.15.2 Da: 4.12.2 Da: 4.12.1 Da: 4.11.1 Da: 4.02 Da: 4.00 Da: 3.2.8 Da: 3.2.7 Da: 3.2.6 Da: 3.2.4 Da: 3.2.3 Da: 3.2.2 Da: 3.2.16.1 Da: 3.2.15.3 Da: 3.2.15 Da: 3.2.14 Da: 3.2.13.6 Da: 3.2.12.2 Da: 3.2.11.5 Da: 3.2.11.3 Da: 3.2.11.1 Da: 3.2.10 Da: 3.2.1 Da: 3.1.5 Da: 3.1.4 Da: 3.1.3 Da: 3.1.2 Da: 3.1.1 Da: 3.1.0 Da: 3.0.2 Da: 3.0.1 Da: 2.4.2 Da: 2.4.1 Da: 2.4.0 Da: 2.3.5 Da: 2.3.3 Da: 2.3.2 Da: 2.3.1 Da: 2.2.2 Da: 2.2.1 Da: 2.1.0 Da: 2.0.0

vendor

prodotto & versioni

cisco

cisco enterprise nfv infrastructure software

Da: 4.9.6
Da: 4.9.5
Da: 4.9.4-FC3
Da: 4.9.4-ES9
Da: 4.9.4-ES8
Da: 4.9.4
Da: 4.9.3
Da: 4.9.2-FC5
Da: 4.9.2
Da: 4.9.1
Da: 4.8.2
Da: 4.8.1
Da: 4.7.1
Da: 4.6.5-ES1
Da: 4.6.4
Da: 4.6.3-FC4
Da: 4.6.3
Da: 4.6.2-FC3
Da: 4.6.2-FC2
Da: 4.6.2
Da: 4.6.1
Da: 4.5.1
Da: 4.4.3
Da: 4.4.2
Da: 4.4.1
Da: 4.2.2
Da: 4.2.1
Da: 4.18.2a
Da: 4.18.2
Da: 4.18.1
Da: 4.16.1
Da: 4.15.4
Da: 4.15.3
Da: 4.15.2
Da: 4.15.1
Da: 4.14.1
Da: 4.13.1
Da: 4.12.6
Da: 4.12.5
Da: 4.12.4
Da: 4.12.3
Da: 4.12.2
Da: 4.12.1
Da: 4.11.1
Da: 4.10.1
Da: 4.1.2
Da: 4.1.1
Da: 3.9.2
Da: 3.9.1
Da: 3.8.1
Da: 3.7.1
Da: 3.6.3
Da: 3.6.2
Da: 3.6.1
Da: 3.5.2
Da: 3.5.1
Da: 3.4.1
Da: 3.3.1
Da: 3.12.3
Da: 3.12.2
Da: 3.12.1b
Da: 3.12.1a
Da: 3.12.1
Da: 3.11.3
Da: 3.11.2
Da: 3.11.1
Da: 3.10.3
Da: 3.10.2
Da: 3.10.1

cisco evolved programmable network manager (epnm)

Da: 8.1.1
Da: 8.1.0
Da: 8.0.1.1
Da: 8.0.1
Da: 8.0.0.1
Da: 8.0.0
Da: 7.1.4.1
Da: 7.1.4
Da: 7.1.3.1
Da: 7.1.3
Da: 7.1.2.1
Da: 7.1.2
Da: 7.1.1
Da: 7.1.0

cisco smart software manager on-prem

Da: 9-202510
Da: 9-202507
Da: 9-202504
Da: 9-202502

cisco unified computing system (standalone)

Da: 6.0(1.250131)
Da: 6.0(1.250130)
Da: 6.0(1.250127)
Da: 4.3(6.260003)
Da: 4.3(6.250117)
Da: 4.3(6.250101)
Da: 4.3(6.250060)
Da: 4.3(6.250053)
Da: 4.3(6.250044)
Da: 4.3(6.250040)
Da: 4.3(6.250039)
Da: 4.3(5.250045)
Da: 4.3(5.250043)
Da: 4.3(5.250033)
Da: 4.3(5.250030)
Da: 4.3(5.250001)
Da: 4.3(5.240021)
Da: 4.3(4.252002)
Da: 4.3(4.252001)
Da: 4.3(4.242066)
Da: 4.3(4.242038)
Da: 4.3(4.242028)
Da: 4.3(4.241063)
Da: 4.3(4.241014)
Da: 4.3(4.240152)
Da: 4.3(4.240142)
Da: 4.3(3.240043)
Da: 4.3(3.240022)
Da: 4.3(2.250063)
Da: 4.3(2.250045)
Da: 4.3(2.250037)
Da: 4.3(2.250022)
Da: 4.3(2.250021)
Da: 4.3(2.250016)
Da: 4.3(2.240107)
Da: 4.3(2.240090)
Da: 4.3(2.240077)
Da: 4.3(2.240053)
Da: 4.3(2.240037)
Da: 4.3(2.240009)
Da: 4.3(2.240002)
Da: 4.3(2.230270)
Da: 4.3(2.230207)
Da: 4.3(1.230138)
Da: 4.3(1.230124)
Da: 4.3(1.230097)
Da: 4.2(3p)
Da: 4.2(3o)
Da: 4.2(3n)
Da: 4.2(3m)
Da: 4.2(3l)
Da: 4.2(3j)
Da: 4.2(3i)
Da: 4.2(3h)
Da: 4.2(3g)
Da: 4.2(3e)
Da: 4.2(3d)
Da: 4.2(3b)
Da: 4.2(2g)
Da: 4.2(2f)
Da: 4.2(2a)
Da: 4.2(1j)
Da: 4.2(1i)
Da: 4.2(1g)
Da: 4.2(1f)
Da: 4.2(1e)
Da: 4.2(1c)
Da: 4.2(1b)
Da: 4.2(1a)
Da: 4.1(3n)
Da: 4.1(3m)
Da: 4.1(3l)
Da: 4.1(3i)
Da: 4.1(3h)
Da: 4.1(3f)
Da: 4.1(3d)
Da: 4.1(3c)
Da: 4.1(3b)
Da: 4.1(2m)
Da: 4.1(2l)
Da: 4.1(2k)
Da: 4.1(2j)
Da: 4.1(2h)
Da: 4.1(2g)
Da: 4.1(2f)
Da: 4.1(2e)
Da: 4.1(2d)
Da: 4.1(2b)
Da: 4.1(2a)
Da: 4.1(1h)
Da: 4.1(1g)
Da: 4.1(1f)
Da: 4.1(1d)
Da: 4.1(1c)
Da: 4.0(4n)
Da: 4.0(4m)
Da: 4.0(4l)
Da: 4.0(4k)
Da: 4.0(4i)
Da: 4.0(4h)
Da: 4.0(4f)
Da: 4.0(4e)
Da: 4.0(4d)
Da: 4.0(4c)
Da: 4.0(4b)
Da: 4.0(2r)
Da: 4.0(2q)
Da: 4.0(2p)
Da: 4.0(2o)
Da: 4.0(2n)
Da: 4.0(2l)
Da: 4.0(2i)
Da: 4.0(2h)
Da: 4.0(2g)
Da: 4.0(2f)
Da: 4.0(2d)
Da: 4.0(2c)
Da: 4.0(1h)
Da: 4.0(1g)
Da: 4.0(1e)
Da: 4.0(1d)
Da: 4.0(1c)
Da: 4.0(1b)
Da: 4.0(1a)
Da: 4.0(1.240)
Da: 3.1(3k)
Da: 3.1(3j)
Da: 3.1(3i)
Da: 3.1(3h)
Da: 3.1(3g)
Da: 3.1(3d)
Da: 3.1(3c)
Da: 3.1(3b)
Da: 3.1(3a)
Da: 3.1(2i)
Da: 3.1(2g)
Da: 3.1(2e)
Da: 3.1(2d)
Da: 3.1(2c)
Da: 3.1(2b)
Da: 3.1(1d)

cisco unified computing system e-series software (ucse)

Da: 4.15.2
Da: 4.12.2
Da: 4.12.1
Da: 4.11.1
Da: 4.02
Da: 4.00
Da: 3.2.8
Da: 3.2.7
Da: 3.2.6
Da: 3.2.4
Da: 3.2.3
Da: 3.2.2
Da: 3.2.16.1
Da: 3.2.15.3
Da: 3.2.15
Da: 3.2.14
Da: 3.2.13.6
Da: 3.2.12.2
Da: 3.2.11.5
Da: 3.2.11.3
Da: 3.2.11.1
Da: 3.2.10
Da: 3.2.1
Da: 3.1.5
Da: 3.1.4
Da: 3.1.3
Da: 3.1.2
Da: 3.1.1
Da: 3.1.0
Da: 3.0.2
Da: 3.0.1
Da: 2.4.2
Da: 2.4.1
Da: 2.4.0
Da: 2.3.5
Da: 2.3.3
Da: 2.3.2
Da: 2.3.1
Da: 2.2.2
Da: 2.2.1
Da: 2.1.0
Da: 2.0.0

riferimenti

sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-auth-bypass-AgG2BxTn

sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-epnm-improp-auth-mUwFWUU3

sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ssm-cli-execution-cHUcWuNr