Cisco ha emitido una alerta urgente sobre una vulnerabilidad crítica (CVE-2026-20160) en la plataforma Smart Software Manager On-Prem (SSM On-Prem), utilizada para la gestión local de licencias de software. Esta falla permite a un atacante remoto no autenticado ejecutar comandos arbitrarios con privilegios de root debido a un servicio interno expuesto accidentalmente, comprometiendo la confidencialidad, integridad y disponibilidad del sistema afectado.
CVE y severidad
- ID CVE: CVE-2026-20160
- Puntaje CVSS: 9.8/10 (Crítica)
- Componente: Servicio interno expuesto de Cisco Smart Software Manager On-Prem
- Estado de explotación: Sin exploits públicos conocidos; sin soluciones temporales disponibles
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| Cisco | Smart Software Manager On-Prem (SSM On-Prem) | API del servicio interno expuesto | Desde 9-202502 hasta 9-202510 |
| Cisco | Smart Software Manager On-Prem (SSM On-Prem) | API del servicio interno expuesto | Versiones anteriores a 9-202502 – no vulnerables |
| Cisco | Smart Software Manager On-Prem (SSM On-Prem) | API del servicio interno expuesto | Versión 9-202601 – parcheada |
Solución
Actualizar a la versión 9-202601 de Cisco Smart Software Manager On-Prem.
Recomendaciones
Priorizar la actualización inmediata a la versión corregida 9-202601 para eliminar la vulnerabilidad, verificando previamente que los dispositivos cumplan los requisitos de hardware y memoria; rechazar cualquier petición no autorizada al servicio expuesto mientras se realiza el despliegue.