Entre as falhas corrigidas, estão incluidas as de acesso e execução de código remotos, elevação de privilégio, negação de serviço e cross-site request forgeries.
A mais crítica é dada pelo CVE-2020-3158, e que advém da presença de credenciais por defeito na ferramenta Smart Software Manager. Desta forma, qualquer atacante que conseguisse aceder ao dispositivo usando as credenciais por defeito, tinha permissões de escrita e leitura, não atuando, contudo, com privilégios de administrador.
Versões afetadas:
Anteriores à 7-202001
Além desta, foram corrigidas falhas de elevação de privilégios, dadas pelo CVE-2019-1888 no Unified Contact Center e CVE-2020-3112 no Data Center Network Manager respetivamente. Foi também corrigida uma falha de execução de código remota no software NFV infrastructure, CVE-2020-3138 - que podia ser explorada por atacantes localmente.
Quanto às falhas de negação de serviço, são dadas pelos CVE-2019-1947 e CVE-2019-1983, respetivamente, na Cisco Email Security Appliance.
Havia uma falha de Injeção de SQL na Cloud Web Security - CVE-2020-3154 - e outra falha de execução de código remota, desta feita no Cisco IP Phone, dada pelo CVE-2020-3111.
Mais informações no site oficial da Cisco: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html