Multiples vulnérabilités dans Cisco Small Business Switches

Date de publication :

Deux vulnérabilités ont été découvertes dans l’interface web de Cisco Small Business Switches. Ces vulnérabilités peuvent permettre à un attaquant de causer un déni de service ou une divulgation d’informations sensibles.

CVE-2020-3147 [Score CVSS v3 : 8.6] : La vulnérabilité est due à une validation incorrecte de requêtes vers l’interface web. Un attaquant peut exploiter cette vulnérabilité en envoyant des requêtes malicieuses forgées et, en cas d’exploitation réussie, pourrait provoquer un redémarrage du service qui entrainerait un déni de service.

CVE-2019-15993 [Score CVSS v3 : 7.5] : La vulnérabilité est due à un manque de contrôle d’authentification lors de l’accès à des informations depuis l’interface web. Un attaquant peut exploiter cette vulnérabilité en envoyant une requête HTTP malicieuse et, en cas d’exploitation réussie, pourrait avoir ainsi accès à des informations sensibles telles que les fichiers de configuration.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service
  • Divulgation d’informations sensibles

Criticité

  • Score CVSS v3 : 8.6 et 7.5

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible pour l’instant

Composants vulnérables

Pour la CVE-2020-3147, ces produits sont vulnérables s’ils utilisent un firmware antérieur à la version 1.3.7.18 :

  • 200 Series Smart Switches
  • 300 Series Managed Switches
  • 500 Series Stackable Managed Switches

Pour la CVE-2019-15993, ces produits sont vulnérables s’ils utilisent un firmware antérieur à la version 2.5.0.92 :

  • 250 Series Smart Switches
  • 350 Series Managed Switches
  • 350X Series Stackable Managed Switches
  • 550X Series Stackable Managed Switches

Pour la CVE-2019-15993, ces produits sont vulnérables s’ils utilisent un firmware antérieur à la version 1.4.11.4 :

  • 200 Series Smart Switches
  • 300 Series Managed Switches
  • 500 Series Stackable Managed Switches

CVE

  • CVE-2020-3147
  • CVE-2019-15993

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les firmwares des produits concernés vers des versions non vulnérables

Solution de contournement

  • Aucune solution de contournement n’est disponible
     

Liens