Vulnerabilidad en los certificados de servidor SSL en implementación de SSL/TLS de Cisco Nexus Dashboard (CVE-2022-20860)

Una vulnerabilidad en la implementación de SSL/TLS de Cisco Nexus Dashboard podría permitir a un atacante remoto no autenticado alterar las comunicaciones con los controladores asociados o visualizar información confidencial. Esta vulnerabilidad se presenta porque los certificados de servidor SSL no son comprobados cuando Cisco Nexus Dashboard establece una conexión con Cisco Application Policy Infrastructure Controller (APIC), Cisco Cloud APIC o Cisco Nexus Dashboard Fabric Controller, anteriormente controladores Data Center Network Manager (DCNM). Un atacante podría explotar esta vulnerabilidad al usar técnicas de tipo man-in-the-middle para interceptar el tráfico entre el dispositivo afectado y los controladores, y luego usar un certificado diseñado para hacerse pasar por los controladores. Una explotación con éxito podría permitir al atacante alterar las comunicaciones entre los dispositivos o visualizar información confidencial, incluyendo las credenciales de administrador de estos controladores