A Cisco anunciou que resolveu vulnerabilidades de alta gravidade que afetam alguns de seus produtos de rede e comunicação, incluindo Enterprise NFV, Expressway e TelePresence.

A primeira vulnerabilidade, rastreada como CVE-2022-20814, é um problema de validação de certificado impróprio, um invasor remoto não autenticado pode acioná-lo para acessar dados confidenciais por meio de um ataque man-in-the-middle.

A vulnerabilidade ocorre devido à falta de validação do certificado do servidor SSL para um dispositivo afetado enquanto ele estabelece uma conexão com um dispositivo Cisco Unified Communications Manager.

O segundo problema, rastreado CVE-2022-20853, é uma falsificação de solicitação entre sites (CSRF) que pode ser explorada para causar uma condição de negação de serviço (DoS) ao enganar um usuário para clicar em um link especialmente criado.

Esta vulnerabilidade se deve a proteções CSRF insuficientes para a interface de gerenciamento baseada na web de um sistema afetado. Um invasor pode explorar essa vulnerabilidade persuadindo um usuário da API REST a seguir um link criado.