Cisco Nexus switchek sérülékenységei
A Cisco biztonsági frissítéseket adott ki a Nexus switchek command injection és DoS sérülékenységének kezelésére. A legsúlyosabb hiba a CVE-2025-20111 (CVSS 7,4) a Cisco Nexus 3000 sorozatú switchek és a Cisco Nexus 9000 sorozatú switchek állapotfigyelő diagnosztikájában található, önálló NX-OS üzemmódban. Egy nem hitelesített, szomszédos támadó kihasználhatja a hibát, és az eszköz váratlan reload-ját idézheti elő, ami szolgáltatásmegtagadási (DoS) állapotot eredményezhet. Ez a sérülékenység bizonyos Ethernet-keretek helytelen kezeléséből adódik. Egy támadó kihasználhatja ezt a sérülékenységet, ha tartósan nagy mennyiségű, manipulált Ethernet-keretet küld az érintett eszközre. A sérülékenység a következő switcheket érinti: Nexus 3100, Nexus 3200, Nexus 3400, Nexus 3600 swtichek, Nexus 9200, 9300 és 9400-as switchek önálló NX-OS üzemmódban.
A második sérülékenység, a CVE-2025-20161 (CVSS 5.1) , szintén egy command inejction probléma, amely a Cisco Nexus 3000 és 9000 sorozatú switcheket érinti. A Cisco Nexus 3000 sorozatú switchek és a Cisco Nexus 9000 sorozatú switchek önálló NX-OS üzemmódban történő szoftverfrissítési folyamatának sérülékenysége lehetővé teheti egy hitelesített, helyi támadó számára, aki érvényes rendszergazdai hitelesítő adatokkal rendelkezik, hogy command inejction támadást hajtson végre az érintett eszköz operációs rendszerén. Ez a hiba az image-eken belüli egyes elemek elégtelen validálását jelenti. A sérülékenység egy manipulált image telepítésével kihasználható.
Mindkét sérülékenység javítására elérhetőek a frissítések.
