Vulnérabilité dans logiciel Cisco DNA Center
Date de publication :
CVE-2021-1257 [Score CVSS v3 : 8.8] : Une vulnérabilité dans l'interface web de gestion du logiciel Cisco DNA Center peut permettre à un attaquant distant et non authentifié de perpétrer une attaque CSRF (cross-site request forgery) pour leurrer un utilisateur authentifié afin qu'il exécute des actions malveillantes sans qu'il en soit conscient ou sans son consentement.
La vulnérabilité est due à l'insuffisance des protections CSRF pour l'interface de gestion basée sur le web d'un dispositif affecté. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité en persuadant un utilisateur de l'interface de gestion basée sur le web de suivre un lien spécialement conçu à cet effet. Une exploitation réussie pourrait permettre à l'attaquant d'effectuer des actions arbitraires sur le dispositif avec les privilèges de l'utilisateur authentifié. Ces actions comprennent la modification de la configuration du dispositif, la déconnexion de la session de l'utilisateur et l'exécution des commandes du Command Runner.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de commandes arbitraires
- Déni de service
- Violation des politiques de sécurité
Criticité
- Score CVSS v3 : En cours de calcul
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible à l’heure actuelle.
Composants vulnérables
- Cisco DNA Center <v2.1.1v.0
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Installer le patch de sécurité Cisco pour les versions 2.1.1.0,2.1.2.0 et 2.1.2.3 de Cisco DNA Center
Ou
Mettre à jour Cisco DNA Center vers la version 2.1.2.4 (recommandé).
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.