Objet: Multiples vulnérabilités dans les produits Cisco

Risques

• Atteinte à la confidentialité des données
• Déni de service à distance
• Exécution de code arbitraire à distance
• Falsification de requêtes côté serveur (SSRF)

Systèmes affectés

• CNC versions antérieures à 7.2
• IoT Field Network Director versions antérieures à 5.0.0-117
• NSO versions antérieures à 6.4.1.3
• SG350 et SG350X toutes versions
• Unity Connection versions 15.0 antérieures à 15SU4
• Unity Connection versions antérieures à 14SU5

L'éditeur indique que les appareils SG350 et SG350X ne sont plus supportés et ne recevront pas de correctif, mais propose une mesure de contournement pour la vulnérabilité CVE-2026-20185.

Documentation

• Bulletin de sécurité Cisco cisco-sa-iot-fnd-dos-n8N26Q4u du 06 mai 2026
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iot-fnd-dos-n8N26Q4u
• Bulletin de sécurité Cisco cisco-sa-nso-dos-7Egqyc du 06 mai 2026
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nso-dos-7Egqyc
• Bulletin de sécurité Cisco cisco-sa-sg350-snmp-dos-GEFZr2Tj du 06 mai 2026
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg350-snmp-dos-GEFZr2Tj
• Bulletin de sécurité Cisco cisco-sa-unity-rce-ssrf-hENhuASy du 06 mai 2026
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-unity-rce-ssrf-hENhuASy
• Référence CVE CVE-2026-20034
https://www.cve.org/CVERecord?id=CVE-2026-20034
• Référence CVE CVE-2026-20035
https://www.cve.org/CVERecord?id=CVE-2026-20035
• Référence CVE CVE-2026-20167
https://www.cve.org/CVERecord?id=CVE-2026-20167
• Référence CVE CVE-2026-20168
https://www.cve.org/CVERecord?id=CVE-2026-20168
• Référence CVE CVE-2026-20169
https://www.cve.org/CVERecord?id=CVE-2026-20169
• Référence CVE CVE-2026-20185
https://www.cve.org/CVERecord?id=CVE-2026-20185
• Référence CVE CVE-2026-20188
https://www.cve.org/CVERecord?id=CVE-2026-20188