سیسکو پچهایی را برای پنج نقص امنیتی منتشر کرده است که شامل دو آسیبپذیری با شدت بالا در نرمافزارهای TelePresence Collaboration Endpoint (CE)، RoomOS و همچنین Meeting Management میشود.
اولین نقص با شناسه CVE-2026-20119 شناخته میشود و مهاجمان میتوانند بدون نیاز به احراز هویت یا تعامل کاربر، تنها با ارسال یک دعوتنامه جلسه دستکاریشده (crafted meeting invitation)، باعث ایجاد وضعیت منع سرویس (DoS) روی دستگاههای آسیبپذیر شوند.
سیسکو این مشکل را در نسخههای 11.27.5.0 و 11.32.3.0 از TelePresence CE Software و RoomOS Software برطرف کرده است.
آسیبپذیری دوم با شناسه CVE-2026-20098 در Meeting Management نسخه 3.12.1 MR رفع شده و ریشه آن به اعتبارسنجی نادرست ورودیها در رابط مدیریت وب بازمیگردد. این ضعف به مهاجمان احراز هویتشده اجازه میدهد درخواستهای دستکاریشده ارسال کنند.
در صورت بهرهبرداری موفق از این باگ، مهاجمانی که حداقل نقش video operator را داشته باشند، قادر خواهند بود فایلهای دلخواه (از جمله فایلهای سیستمی که توسط حساب root پردازش میشوند) را بارگذاری کنند؛ موضوعی که در نهایت میتواند به اجرای دستور با سطح دسترسی روت منجر شود.
سیسکو همچنین سه نقص امنیتی با شدت متوسط را در AsyncOS for Secure Web Appliance، Prime Infrastructure و Evolved Programmable Network Manager (EPNM) اصلاح کرده است.
به گفته سیسکو، تاکنون گزارشی مبنی بر سوءاستفاده فعال از این آسیبپذیریها در دنیای واقعی دریافت نشده است. اطلاعات تکمیلی در صفحه توصیههای امنیتی این شرکت در دسترس قرار دارد.
وصلههای F5
همچنین در روز چهارشنبه، F5 اطلاعیه امنیتی فصلی فوریه ۲۰۲۶ خود را منتشر کرد که در آن به پنج آسیبپذیری با شدت متوسط و پایین در محصولات BIG-IP و NGINX اشاره شده است. بر اساس سیستم امتیازدهی CVSS 4.0، دو مورد از این نقصها رتبه «بالا» دریافت کردهاند.
اولین مورد CVE-2026-22548 است؛ یک باگ در BIG-IP که میتواند با راهاندازی مجدد فرآیند bd باعث ایجاد وضعیت DoS و اختلال در ترافیک شبکه شود.
F5 توضیح میدهد: «زمانی که یک سیاست امنیتی BIG-IP Advanced WAF یا ASM روی یک virtual server پیکربندی شده باشد، درخواستهای نامشخص همراه با شرایطی خارج از کنترل مهاجم میتوانند باعث خاتمه یافتن فرآیند bd شوند.»
دومین آسیبپذیری با شناسه CVE-2026-1642، نمونههای NGINX OSS و NGINX Plus را که برای پروکسی کردن به سرورهای TLS بالادستی پیکربندی شدهاند تحت تأثیر قرار میدهد. این نقص به مهاجم man-in-the-middle اجازه میدهد پاسخهایی تزریق کند که ممکن است به کلاینتها ارسال شوند.
F5 همچنین اصلاحیههایی را برای یک نقص با شدت متوسط در BIG-IP Container Ingress Services برای Kubernetes و OpenShift و نیز چند نقص با شدت پایین در BIG-IP Edge Client، کلاینتهای Browser VPN روی ویندوز، و ابزار پیکربندی BIG-IP منتشر کرده است.
این مشکلات میتوانند به افشای secrets کلاستر و سایر اطلاعات حساس، و همچنین جعل پیامهای خطا (که ممکن است کاربران را به کلیک روی لینکهای مخرب ترغیب کند) منجر شوند.
F5 نیز مانند سیسکو اعلام کرده که نشانهای از سوءاستفاده فعال از این آسیبپذیریها مشاهده نکرده است. جزئیات بیشتر در اطلاعیه امنیتی فصلی این شرکت منتشر شده است.