Você está fazendo uma pergunta razoável. A primeira coisa a entender é que o desenvolvimento de software da Cisco geralmente acontece em ramificações paralelas 1 , com relação a onde os recursos são confirmados.
Nesse caso, um desenvolvedor comprometeu simultaneamente o código vulnerável em 3.6.2 e 3.7.1; esse código vulnerável escapou do teste Q / A e foi liberado no CCO. Todos os softwares lançados nesses ramos após 2 3.6.2 e 3.7.1 estavam vulneráveis 3 até que a correção fosse confirmada simultaneamente em 3.8.3, 3.9.1 e 4.0.0
NOTAS FIM:
- Veja o Horror de Codificação: Universos de Ramificação de Software e Paralelos
- As versões 3.5.4, 3.6.0, 3.6.1 não devem ser vulneráveis, pois não foram mencionadas na notificação
- As versões 3.8.0, 3.8.1, 3.8.2 e 3.9.0 também contêm o código vulnerável