Vulnérabilités dans des systèmes d’exploitation Cisco

Plusieurs vulnérabilités dans les produits Cisco FXOS Software, Cisco NX-OS Software et Cisco UCS Software ont été publiées. Cisco considère que ces vulnérabilités ont un niveau de criticité élevé. Elles peuvent permettre à un attaquant de provoquer un déni de service, une élévation de privilèges et une exécution de code arbitraire.

CVE-2020-3172 [Score CVSS v3 : 8.8] : Une vulnérabilité importante due à une insuffisante validation lors du traitement de messages a été découverte dans l’implémentation de Cisco Discovery Protocol (CDP) pour Cisco FXOS Software et Cisco NX-OS Software. Un attaquant se trouvant sur le même domaine de diffusion que l’appareil concerné et exploitant cette faille avec succès peut causer un redémarrage inopiné de l’appareil, occasionnant ainsi un déni de service, voire exécuter du code arbitraire avec privilèges administrateur sur l’appareil.

CVE-2020-3175 [Score CVSS v3 : 8.6] : Une vulnérabilité importante due à un contrôle inapproprié des ressources utilisées a été découverte dans Cisco NX-OS Software lorsqu’il est utilisé dans les produits Cisco MDS 9000 Series Multilayer Switches. Cette vulnérabilité peut permettre à un attaquant distant et non authentifié de provoquer un déni de service.

CVE-2020-3167 [Score CVSS v3 : 7.8] : Une vulnérabilité due à un défaut dans la validation d’entrées dans l’interface en ligne de commande (CLI) de Cisco FXOS Software et de Cisco UCS Manager Software a été dévoilée. Elle peut permettre à un attaquant local et authentifié de provoquer une exécution de commandes arbitraires.

CVE-2020-3171, CVE-2020-3173 [Score CVSS v3 : 7.8] : Une vulnérabilité due à un défaut dans la validation d’entrées dans l’interface en ligne de commande (CLI) « local-mgmt » de Cisco FXOS Software et de Cisco UCS Manager Software a été dévoilée. Elle peut permettre à un attaquant local et authentifié de provoquer une exécution de commandes arbitraires.