Cisco a corrigé plusieurs vulnérabilités ayant un impact sur certains de ses produits, notamment des failles de haute gravité dans les produits de sécurité de l'identité, de la messagerie et du web.

La vulnérabilité la plus grave traitée par le géant de l'informatique est une faille cross-site request forgery (CSRF), répertoriée sous le nom de CVE-2022-20961 (score CVSS de 8,8), qui a un impact sur l'Identity Services Engine (ISE). Un attaquant distant non authentifié peut exploiter cette vulnérabilité pour effectuer des actions arbitraires sur un appareil vulnérable. La cause profonde du problème est l'insuffisance des protections CSRF pour l'interface de gestion basée sur le Web d'un appareil affecté.

Cisco a également corrigé une vulnérabilité de contrôle d'accès insuffisant, repérée sous le nom de CVE-2022-20956 (score CVSS de 7,1), dans son produit ISE. La faille est due à un contrôle d'accès inadéquat dans l'interface de gestion Web et un attaquant peut la déclencher en envoyant des requêtes HTTP spécialement rédigées aux périphériques affectés.

Le PSIRT de Cisco est au courant de la disponibilité d'un code d'exploitation de preuve de concept pour la vulnérabilité.

La société a également corrigé une vulnérabilité d'injection SQL, suivie sous le nom de CVE-2022-20867, et une vulnérabilité d'escalade de privilèges, suivie sous le nom de CVE-2022-20868, dans Cisco ESA et Cisco Secure Email and Web Manager Next Generation Management.

Le géant de l'informatique étudie également l'impact potentiel des vulnérabilités OpenSSL désignées par CVE-2022-3602 et CVE-2022-3786.