Vulnérabilités dans plusieurs produits Cisco
Date de publication :
CVE-2021-1531 [Score CVSS v3 : 8.8]
Une vulnérabilité dans l'interface utilisateur Web de Cisco Modeling Labs a été corrigée. Cette faille est due à une validation insuffisante des données fournies par l'utilisateur à l'interface utilisateur Web. Son exploitation peut permettre à un attaquant distant et authentifié d'exécuter des commandes arbitraires avec les privilèges de l'application web sur le système d'exploitation sous-jacent d'un serveur Cisco Modeling Labs affecté. Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides sur l'interface utilisateur Web.
CVE-2021-1487 [Score CVSS v3 : 8.8]
Une vulnérabilité dans l'interface de gestion basée sur le Web de Cisco Prime Infrastructure and Evolved Programmable Network (EPN) Manager a été corrigée. Cette faille est due à une validation insuffisante des données fournies par l'utilisateur à l'interface de gestion Web. Son exploitation pourrait permettre à un attaquant distant et authentifié d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent. De cette façon, un attaquant pourrait prendre le contrôle du système affecté, ce qui lui permettrait d'obtenir et de modifier des données sensibles. L'attaquant pourrait également affecter les dispositifs gérés par le système affecté en poussant des fichiers de configuration arbitraires, en récupérant les informations d'identification des dispositifs et les informations confidentielles, et finalement en minant la stabilité des dispositifs, provoquant une condition de déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de commandes arbitraires
- Expositions d’informations sensibles
- Déni de service
Criticité
- Scores CVSS v3 : 8.8 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Les versions de Cisco Modeling Labs sont impactées par ces vulnérabilités sont les suivantes :
- 2.0.0
- 2.0.1
- 2.1.0
- 2.1.1
- 2.1.2
- 2.1.3
Les versions de Cisco Prime Infrastructure antérieures à la version 3.9 sont impactées par ces vulnérabilités.
Les versions de Cisco EPN Manager antérieures à la version 5.1 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Cisco Modeling Labs vers la version 2.2.1.
- Mettre à jour Cisco Prime Infrastructure vers la version 3.9 ou ultérieure.
- Mettre à jour Cisco EPN Manager vers la version 5.1 ou ultérieure.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.