Cisco 26日发布多则安全公告，披露多款产品中的多个安全漏洞。这些漏洞包括6个高危和5个中危漏洞，涉及Cisco UCS管理软件，CiscoNexus 1000V Switch for VMware vSphere，Cisco MDS9000系列多层交换机等多款产品。

其中，Cisco UCS管理软件受到高危漏洞CVE-2020-3173的影响。该漏洞存在于软件的本地管理命令行界面（local-mgmtCLI），源于对命令参数的输入验证不充分。本地攻击者可利用该漏洞以当前登录的用户权限在底层操作系统上执行任意命令。UCS 6200Series Fabric Interconnects、UCS 6300 Series FabricInterconnects、UCS 6400 Series FabricInterconnects受到该漏洞的影响，但对于UCS 6400 Series，攻击者可以root权限执行注入的命令。

如果用于VMwarevSphere虚拟监控模块（VSM）的Cisco Nexus1000V 交换机运行了Cisco NX-OS 5.2（1）SV3（4.1a）版本且配置了设备的安全登录增强能力的登录参数时，则会受到CVE-2020-3168漏洞的影响。远程攻击者可通过执行大量的登录尝试利用该漏洞造成拒绝服务（用户无法访问受影响的设备），要恢复服务需要手动重启VSM。攻击者利用该漏洞无需身份认证。

CVE-2020-3175存在于Cisco NX-OS软件的资源处理系统中，源于对资源使用的控制不当。远程攻击者可以非常高的速率向受影响设备的管理接口（mgmt0）发送流量利用该漏洞造成拒绝服务，例如高CPU使用率，进程崩溃，甚至设备的整个系统重启。该漏洞影响了Cisco MDS9000系列多层交换机。

CVE-2020-3167和CVE-2020-3171存在于Cisco FXOS软件和Cisco UCS管理软件的命令行管理界面中，都为命令注入漏洞。如成功利用，本地攻击者可在底层操作系统上执行任意命令。

Cisco FXOS软件和Cisco NX-OS软件中的Cisco DiscoveryProtocol特性存在CVE-2020-3172漏洞。该漏洞源于未充分验证Cisco DiscoveryProtocol数据包头。默认情况下，Cisco FXOS和CiscoNX-OS软件中的所有接口都启用了Cisco Discovery Protocol。物理位置临近的攻击者可借助特制的数据包利用该漏洞以root权限在受影响的设备上执行任意代码或造成设备拒绝服务。

Cisco在安全公告中表示已修复上述高危漏洞，建议受影响的用户尽快下载更新。