### Bypass de Autenticación en Cisco IMC **Cisco** ha lanzado actualizaciones para remediar una falla de seguridad crítica que afecta al Integrated Management Controller (IMC). Esta vulnerabilidad, identificada como **CVE-2026-20093**, tiene una puntuación CVSS de 9.8, lo que indica su gravedad. La vulnerabilidad se origina en el manejo inadecuado de las solicitudes de cambio de contraseña. Según el aviso de **Cisco**, un atacante podría explotarla enviando una solicitud HTTP manipulada a un dispositivo vulnerable. Una explotación exitosa podría permitir a un atacante eludir la autenticación, cambiar contraseñas de cualquier usuario (incluidos los administradores) y obtener acceso no autorizado al sistema. La vulnerabilidad afecta a los siguientes productos: * 5000 Series Enterprise Network Compute Systems (ENCS) - Corregido en 4.15.5 * Catalyst 8300 Series Edge uCPE - Corregido en 4.18.3 * UCS C-Series M5 y M6 Rack Servers en modo independiente - Corregido en 4.3(2.260007), 4.3(6.260017) y 6.0(1.250174) * UCS E-Series Servers M3 - Corregido en 3.2.17 * UCS E-Series Servers M6 - Corregido en 4.15.3 El investigador de seguridad "jyh" es reconocido por descubrir y reportar esta vulnerabilidad. Se recomienda encarecidamente a los usuarios de los sistemas afectados que apliquen los parches proporcionados. ### Ejecución Remota de Comandos en Smart Software Manager On-Prem Otra vulnerabilidad crítica, **CVE-2026-20160** (puntuación CVSS: 9.8), afecta a **Cisco** Smart Software Manager On-Prem (SSM On-Prem). Esta falla podría permitir a un atacante remoto no autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente. La vulnerabilidad se debe a la exposición no intencional de un servicio interno. Un atacante podría explotarla enviando una solicitud manipulada a la API del servicio expuesto. La explotación exitosa otorga al atacante privilegios de nivel root en el sistema operativo subyacente. Los parches para esta vulnerabilidad están disponibles en la versión 9-202601 de **Cisco** SSM On-Prem. **Cisco** declaró que esta vulnerabilidad fue descubierta internamente durante la resolución de un caso de soporte del **Cisco** Technical Assistance Center (TAC). ### Mitigación Aunque ninguna de las vulnerabilidades ha sido explotada en la naturaleza, fallas recientes en productos de **Cisco** han sido activamente utilizadas por actores de amenazas. Dado este panorama, **Cisco** insta a los clientes a actualizar a las versiones corregidas lo antes posible para garantizar una protección óptima en ausencia de una solución alternativa.