Vulnérabilité dans Cisco IOS XE

Date de publication : 29/09/2022

CVE-2021-1446 [Score CVSS v3 : 8.6] : Une vulnérabilité dans la fonctionnalité de la passerelle de couche d'application (ALG) DNS utilisée par la traduction d'adresse réseau (NAT) dans le logiciel Cisco IOS XE a été corrigée. Elle est due à une erreur logique qui se produit lorsqu'un périphérique affecté inspecte certains paquets DNS. Un attaquant distant et non authentifié peut exploiter cette vulnérabilité en envoyant des paquets DNS modifiés par le biais d'un NAT afin de provoquer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Déni de service

Criticité

Score CVSS v3 : 8.6

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

Les versions de Cisco IOS XE antérieures à la version 17.3.1x sont impactées par cette vulnérabilité.

CVE

CVE-2021-1446

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Cisco IOS XE vers la version 17.3.x ou ultérieure.

Solution de contournement

Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens

Cisco IOS XE Software DNS NAT Protocol Application Layer Gateway Denial of Serv…