Множество уязвимости с висока степен на сериозност в енджина ClamAV на Cisco позволяват на отдалечени атакуващи да сринат процеса на сканиране за вируси, причинявайки отказ от услуга (DoS) на засегнатите внедрявания на Cisco Secure Endpoint Connector.
Проблемите засягат Windows, Linux и macOS, като най-голямо е въздействието върху Windows, където те са оценени като високи (CVSS 7.5), тъй като процесът на сканиране на ClamAV работи с по-високи привилегии и сривът може пряко да повлияе на стабилността на крайната точка.
При Linux и macOS оценката на въздействието върху сигурността е средна, тъй като ClamAV обикновено работи с намалени привилегии и DoS атаката пречи главно на сканирането, а не на цялата система.
Cisco пояснява, че Secure Endpoint Private Cloud не е пряко уязвим. Въпреки това конекторите, разпространявани от него, наследяват дефектите на ClamAV и трябва да бъдат актуализирани.
Уязвимостите се коренят в неправилно управление на паметта, проверки на границите и управление на ресурси в множество парсери за файлови формати на ClamAV, включително PE, FSG, 7z, InstallShield, PESpin, ALZ и DMG.
Неоторизиран атакуващ може да създаде злонамерени файлове в тези формати и да ги достави до крайна точка чрез имейл, уеб изтегляне или споделяне на файлове, така че ClamAV да сканира съдържанието. Когато енджинът парсира компрометирания файл, грешки като запис извън границите на паметта, преразход на памет и целочислени препълвания на 32-битови платформи могат да доведат до прекратяване на процеса на ClamAV и временно да консумират системни ресурси, което води до DoS.
Cisco публикува консултативен документ cisco-sa-clamav-88cFYyxR на 1 юли 2026 г., предупреждавайки, че подобни уязвимости при парсиране в ClamAV и преди са прекъсвали операциите по сканиране, а в някои случаи са водили до неуспешни сканирания. Опасността от дефекти в енджините за сигурност, които рутинно обработват ненадеждни данни, се подчертава и от възможността за отдалечено изпълнение на код, когато защитите на платформите са по-слаби.
Няма практически заобиколни решения за тези уязвимости в ClamAV, което прави обновяването единственото трайно решение. Актуализираните версии на Secure Endpoint Connector са достъпни чрез портала на Cisco Secure Endpoint.