Vulnérabilité critique au sein de certains VPN SonicWall
Date de publication :
CVE-2021-20028 [Score CVSS v3 : 9.8]
Une vulnérabilité pouvant permettre une injection de code SQL a été corrigée. Cette faille est due à une neutralisation incorrecte d'une commande SQL spécifique. Un attaquant distant et non authentifié peut potentiellement injecter du code arbitraire sur les dispositifs vulnérables.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Injection de code arbitraire
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Secure Mobile Access 400/200 versions antérieures à 10.2.0.7-34 et 9.0.0.10
- Secure Mobile Access 210/410/500v versions antérieures à 10.2.0.7-34sv et 9.0.0.10-28sv
- Secure Remote Access 4600/1600 toutes versions (produit déprécié)
- Secure Remote Access 4200/1200 toutes versions (produit déprécié)
- SSL-VPN 200/2000/400 toutes versions (produit déprécié)
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les dispositifs affectés conformément aux instructions de SonicWall
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.