Vulnérabilités dans plusieurs produits SonicWall
Date de publication :
CVE-2021-20021 [Score CVSS v3 : 9.8]
Une vulnérabilité dans SonicWall Email Security peut permettre à un attaquant distant et non authentifié de créer un compte administratif en envoyant une requête HTTP élaborée à un hôte distant vulnérable.
CVE-2021-20020 [Score CVSS v3 : 9.8]
Une vulnérabilité d'exécution de commande dans SonicWall GMS peut permettre à un attaquant distant et non authentifié d'obtenir les privilèges racines sur un dispositif vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Elévation de privilèges
Criticité
- Scores CVSS v3 : 9.8 max
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Les versions de SonicWall On-premise Email Security (ES) 10.0.9 et antérieures sont impactées.
- Les versions de SonicWall GMS 9.3 et antérieures sont impactées.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Hosted Email Security (HES) a été automatiquement mis à niveau vers le Hotfix 10.0.9.6103, aucune action n'est requise de la part des utilisateurs du logiciel.
- Sur On-premise Email Security Windows : appliquer la mise à jour vers 10.0.9.6103. Pour Appliance : appliquer la mise à jour vers 10.0.9.6105.
- Pour SonicWall GMS : appliquer le correctif de sécurité GMS 9.3 Hotfix MAR-22474.1
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.