Cisco a publié des correctifs pour quatre vulnérabilités de sécurité dans ses logiciels qui pourraient être exploitées par des acteurs malveillants pour prendre le contrôle des systèmes affectés.

La plus critique de ces failles est CVE-2022-20650 (score CVSS : 8,8), qui concerne une faille d'injection de commande dans la fonctionnalité NX-API (désactivée par défaut) du logiciel Cisco NX-OS, due à une validation insuffisante des données fournies par l'utilisateur.

La faille a un effet sur les commutateurs : Nexus séries 3000, 6000 et 9000 en mode NX-OS autonome, plate-forme Nexus 5600 et 5600.

Deux autres bogues de déni de service ont été corrigés dans NX-OS avec un score CVSS de 8.6, connus sous les noms CVE-2022-20624 et CVE-2022-20623, ces deux failles affectent les fonctions de trafic Cisco Fabric Services Over IP (CFSoIP) et Bidirectional Forwarding Detection (BFD).

CVE-2022-20624 a un impact sur les commutateurs : Nexus séries 3000 et 9000 et les interconnexions UCS série 6400. En revanche, CVE-2022-20623 n'affecte que les commutateurs Nexus Série 9000, avec les deux fonctionnalités CFSoIP et BFD activées.

Enfin, la vulnérabilité DoS (CVE-2022-20625, score CVSS : 4.3) dans le service Cisco Discovery Protocol des logiciels Cisco FXOS et Cisco NX-OS, qui pourrait permettre à un attaquant adjacent non authentifié de faire redémarrer le service, ce qui entraînerait un déni de service.

Il est recommandé aux utilisateurs d'appliquer rapidement les mises à jour nécessaires pour éviter toute exploitation potentielle dans le monde réel.