Sushilsin/CVE-2026-20131

# CVE-2026-20131 — Cisco FMC 不安全的 Java 反序列化 (RCE) ## 描述 **Cisco Secure Firewall Management Center (FMC)** 软件的基于 Web 的管理界面中存在一个漏洞，允许未经认证的远程攻击者通过对用户提供的 Java 字节流进行不安全的反序列化，**以 root 权限执行任意 Java 代码**。 - **CWE:** CWE-502 — 不可信数据的反序列化 - **供应商公告:** [cisco-sa-fmc-rce-NKhnULJh](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh) ## 根本原因 FMC Web 界面在没有适当验证的情况下反序列化用户提供的 Java 对象。攻击者发送特制的序列化 Java 对象以触发任意代码执行。 ## 影响 - 未经认证的远程代码执行 - 获得底层操作系统的完全 **root 级别** 访问权限 - 如果 FMC 未面向互联网，攻击面会减小 ## 受影响的产品 Cisco Secure Firewall Management Center (FMC) — 有关具体的受影响版本，请参阅 Cisco 的公告。 ## 检测脚本 `check_cve_2026_20131.py` — 将 Java 序列化魔术字节 (`AC ED 00 05`) 发送到已知的 FMC 端点，并检查响应中是否存在反序列化处理的迹象。 ### 环境要求 ``` pip install requests ``` ### 使用方法 ``` python3 check_cve_2026_20131.py https:// ``` ### 输出 | 结果 | 含义 | |--------|---------| | `POTENTIALLY VULNERABLE` | 端点处理了序列化字节 (500/200 响应) | | `No obvious exposure detected` | 端点拒绝请求或无法访问 — 可能已修补 | ## 修复建议 应用来自 Cisco 官方公告的补丁： https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh **缓解措施（如果无法立即应用补丁）：** - 将 FMC 管理界面的访问权限限制为仅受信任的 IP - 阻止公共互联网对 FMC 界面的访问 ## 免责声明

标签：CISA项目, Cisco FMC, Cisco Secure Firewall, CVE-2026-20131, CWE-502, Insecure Deserialization, Java反序列化, RCE, Root权限, Web报告查看器, Web管理接口, 事件响应, 企业安全, 安全补丁, 序列化攻击, 未授权访问, 编程工具, 网络安全, 网络资产管理, 远程代码执行, 逆向工具, 防火墙管理, 隐私保护