Negli ultimi aggiornamenti di sicurezza, Cisco ha identificato e corretto diverse vulnerabilità nei suoi prodotti. Di seguito è riportato un riepilogo delle vulnerabilità e le correzioni disponibili.
Cisco Expressway Series: Privilege Escalation Vulnerability
Una vulnerabilità di escalation dei privilegi è stata identificata nel Cisco Expressway Series. La correzione è stata implementata nelle versioni più recenti, e gli utenti sono invitati ad aggiornare a Release 15.2 (ottobre 2024) o versioni successive. Le release precedenti alla 14 dovrebbero essere migrate a una versione corretta per evitare rischi di sicurezza.
Cisco UCS Servers: Redfish API Command Injection Vulnerability
È stata rilevata una vulnerabilità di command injection nelle API Redfish dei server Cisco UCS B-Series, C-Series e X-Series. Gli aggiornamenti per questa vulnerabilità variano a seconda della versione del firmware e della modalità di gestione (UCS Manager o Intersight Management Mode). Gli utenti sono incoraggiati ad aggiornare alla versione 4.3(4a/d) o successive, a seconda del modello e della configurazione del server.
Cisco Nexus Dashboard Fabric Controller: REST API Command Injection Vulnerability
La vulnerabilità riguarda il Nexus Dashboard Fabric Controller (NDFC), precedentemente noto come DCNM. Gli utenti sono invitati ad aggiornare alla versione 12.2.2 o successiva per mitigare il rischio. Le versioni 11.5 e precedenti dovrebbero essere migrate a una versione corretta.
Cisco Meraki MX e Z Series: AnyConnect VPN Session Takeover e DoS Vulnerability
Un problema di sicurezza è stato individuato nelle serie Cisco Meraki MX e Z Teleworker Gateway, che interessa le sessioni AnyConnect VPN. Per determinare se un dispositivo è interessato dalla vulnerabilità, è necessario controllare se la funzione AnyConnect VPN è abilitata nel pannello di controllo del dispositivo. L’aggiornamento software è consigliato per mitigare questa vulnerabilità.
Cisco Identity Services Engine: Information Disclosure Vulnerability
La vulnerabilità riguarda il Cisco Identity Services Engine (ISE). Gli utenti dovrebbero aggiornare alla versione 3.1P9, 3.2P7 (ottobre 2024), o 3.3P3 per risolvere il problema di divulgazione delle informazioni. La versione 3.4 non è interessata dalla vulnerabilità.