Vulnérabilité dans Cisco AsyncOS
Date de publication :
CVE-2021-1359[Score CVSS v3.1: 8.8]
La section sécurité de Cisco a publié en juillet 2021 l’étude d’une vulnérabilité du type « injection de commande » concernant le produit AsyncOS pour WSA (Web Security Appliance). Une récente mise à jour de cette vulnérabilité a eu lieu le 26 octobre 2021.
La vulnérabilité est basée sur un manque de contrôle des fichiers téléchargés par l’utilisateur via l’interface Web du programme. Un attaquant distant et authentifié peut exploiter cette vulnérabilité, via le téléchargement d’un fichier XML (Extensible Markup Langage) contenant une charge malveillante pour effectuer une élévation de privilèges. Si l’attaquant parvient à s’élever en privilèges root, il pourrait aussi mener une exécution de code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de commande
- Elévation de privilèges
- Exécution de codes arbitraires
Criticité
- Score CVSS v3.1: 8.8
CVE
Composants vulnérables.
Pour le produit AsyncOS de Cisco WSA (virtuel et hardware), les versions suivantes sont vulnérables :
- Version 11.8 et les versions antérieures
- Version 12.0
- Version 12.5
Solutions ou recommandations
Pour le produit AsyncOS de Cisco WSA, effectuer la mise à jour suivante selon la version :
- Version 11.8 et antérieures, effectuer la mise à jour 11.8.4-004
- Version 12.0, effectuer la mise à jour 12.0.3-005
- Version 12.5, effectuer la mise à jour 12.5.21
- Version 14.0 : celle-ci est non concernée par la vulnérabilité.