Cisco corrige une vulnérabilité critique sur son produit Cisco Elastic Services Controller

Cisco a publié le 7 mai un bulletin concernant une vulnérabilité critique affectant son produit Cisco Elastic Services Controller.

L'impact sur la disponibilité, l'intégrité et la confidentialité des données est élevé. En effet, l'exploitation des vulnérabilités critiques peut être réalisée à distance, ne nécessite ni privilège, ni interaction avec un utilisateur et se révèle simple à mettre en œuvre.

Dans ce bulletin, la vulnérabilité affecte les versions 4.1, 4.2, 4.3, et 4.4 du produit Cisco Elastic Services Controller (ESC). Toutes les vulnérabilités ont été découvertes par les équipes Cisco, aussi, l'organisation indique qu'aucune de ces vulnérabilités n'a été exploitée.

Détails Techniques :

La vulnérabilité a été référencée comme suit :

  • CVE-2019-1867 [CVSS v3 10.0] : Une vulnérabilité dans le produit Cisco Elastic Services Controller (ESC), causée par une validation incorrecte des requêtes API . En effet, un attaquant non authentifié et connecté à distance pourrait exploiter cette vulnérabilité, et contourner l'authentification API REST en envoyant une requête API REST non légitime. Dans le cas d'un exploit réussi, l'attaquant pourrait être en mesure d'exécuter du code arbitraire via l'API avec des privilèges d'administrateur sur le système vulnérable.
Informations
+

Risques

  • Atteinte à la confidentialité des données ;
  • Elévation de privilèges ;
  • Exécution de code arbitraire.

Criticité

  • Score CVSS : 10.0

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'est publiquement disponible pour la vulnérabilité identifiée.

Composants & versions vulnérables

  • Cisco Elastic Services Controller (ESC) v4.1, v4.2, v4.3, et v4.4

CVE

  • CVE-2019-1867

Recommandations
+

Mise en place de correctif de sécurité

  • Cisco à publié des mises à jour pour chacun des produits mentionnés dans le bulletin.

Solution de contournement

  • Aucune solution de contournement n'a été proposée pour la vulnérabilité.