Vulnérabilité dans l’interface CLI de Cisco

Risques

• Injection de commande
• Elévation de privilèges
• Exécution de code arbitraire

Criticité

• Score CVSS v3.1: 7.8

CVE

• CVE-2021-1529

Composants vulnérables.

La vulnérabilité concerne les produits Cisco qui fonctionnent avec une publication universelle Cisco IOS XE Software en mode Controller ou une publication Standalone Cisco IOS XE SD-WAN Software.

Les produits vulnérables sont les suivants:

• 1000 Series Integrated Services Routers (ISRs).
• 4000 ISRs.
• ASR 1000 Series Aggregation Services Routers.
• Catalyst 8000 Series Edge Platforms.
• Cloud Serces Router (CSR) 1000V Series.

Les produits qui ne sont pas concernés par la vulnérabilité sont les suivants :
 

• IOS Software
   
• IOS XE Software, fonctionnant en mode autonome.
   
• SD-WAN vBOND Orchestrator Software
   
• SD-WAN vEdge Cloud Routers
   
• SD-WAN vEdge Routers
   
• SD-WAN vManage Software
   
• SD-WAN vSmart Controller Software
   

Les produits Cisco IOS XE avec la publication universelle, concernés par la vulnérabilité et nécessitant un correctif, sont les suivants :
 

• Pour la version Cisco IOS XE 17.2, effectuer le correctif 17.2.3
   
• Pour la version Cisco IOS XE 17.3, effectuer le correctif 17.3.4
   
• Pour la version Cisco IOS XE 17.4, effectuer le correctif 17.4.2
   
• Pour la version Cisco IOS XE 17.5, effectuer le correctif 17.5.1a
   
• Pour la version Cisco IOS XE 17.6, effectuer le correctif 17.6.1
   

Il n’existe aucun correctif pour les produits Cisco IOS XE SD-WAN Software de la publication Standalone. Les utilisateurs sont invités à migrer vers les produits de la publication universelle.