Cisco vient de publier des correctifs pour une vulnérabilité de type denial-of-service (DoS) affectant le Crosswork Network Controller (CNC) et le Network Services Orchestrator (NSO). Les systèmes touchés nécessitent un redémarrage manuel pour retrouver leur fonctionnement normal.
Les grandes entreprises et fournisseurs de services utilisent la suite logicielle CNC afin de gérer des réseaux multivendeurs via l’automatisation. Le NSO, quant à lui, orchestre les équipements et ressources réseau.
Identifiée sous le numéro CVE-2026-20188, cette faille de gravité élevée provient d’une limitation insuffisante du débit des connexions entrantes. Des attaquants non authentifiés peuvent l’exploiter à distance avec des attaques de faible complexité, provoquant l’arrêt des instances Cisco CNC et Cisco NSO non corrigées.
Conséquences et remédiation
Une exploitation réussie épuise les ressources de connexion, rendant les systèmes indisponibles et générant une condition de DoS pour les utilisateurs légitimes et services associés. Seul un redémarrage manuel permet la récupération, précise Cisco dans son avis publié mercredi.
La société insiste sur l’importance de migrer vers les versions corrigées pour éliminer ce risque.
L’équipe Product Security Incident Response Team (PSIRT) de Cisco n’a détecté aucune exploitation active de CVE-2026-20188.
| Cisco CNC Release | First Fixed Release |
|---|---|
| 7.1 and earlier | Migrate to a fixed release. |
| 7.2 | Not vulnerable. |
| Cisco NSO Release | First Fixed Release |
|---|---|
| 6.3 and earlier | Migrate to a fixed release. |
| 6.4 | 6.4.1.3 |
| 6.5 | Not vulnerable. |
Antécédents chez Cisco
Aucune exploitation sauvage n’a été observée pour cette vulnérabilité, mais Cisco a déjà corrigé d’autres failles DoS utilisées par des attaquants. En novembre 2025, deux défauts (CVE-2025-20362 et CVE-2025-20333) ont forcé des pare-feu ASA et FTD en boucles de redémarrage lors d’attaques zero-day.
En septembre précédent, l’agence CISA avait ordonné aux agences fédérales de sécuriser leurs pare-feu Cisco sous 24 heures face à cette chaîne d’exploits.
Cisco a également traité des vulnérabilités (CVE-2022-20653 et CVE-2024-20401) permettant de bloquer définitivement les appliances Secure Email via des emails malveillants, nécessitant une intervention manuelle. L’an dernier, une autre faille (CVE-2025-20115) crashait le processus Border Gateway Protocol (BGP) sur routeurs IOS XR avec un seul message BGP.