Cisco corrige une vulnérabilité critique sur son produit Cisco Elastic Services Controller

Cisco a publié le 7 mai un bulletin concernant une vulnérabilité critique affectant son produit Cisco Elastic Services Controller.

L'impact sur la disponibilité, l'intégrité et la confidentialité des données est élevé. En effet, l'exploitation des vulnérabilités critiques peut être réalisée à distance, ne nécessite ni privilège, ni interaction avec un utilisateur et se révèle simple à mettre en œuvre.

Dans ce bulletin, la vulnérabilité affecte les versions 4.1, 4.2, 4.3, et 4.4 du produit Cisco Elastic Services Controller (ESC). Toutes les vulnérabilités ont été découvertes par les équipes Cisco, aussi, l'organisation indique qu'aucune de ces vulnérabilités n'a été exploitée.

Détails Techniques :

La vulnérabilité a été référencée comme suit :

• CVE-2019-1867 [CVSS v3 6.5] : Une vulnérabilité dans le produit Cisco Elastic Services Controller (ESC), causée par une validation incorrecte des requêtes API . En effet, un attaquant non authentifié et connecté à distance pourrait exploiter cette vulnérabilité, et contourner l'authentification API REST en envoyant une requête API REST non légitime. Dans le cas d'un exploit réussi, l'attaquant pourrait être en mesure d'exécuter du code arbitraire via l'API avec des privilèges d'administrateur sur le système vulnérable.