Deux vulnérabilités identifiées par Cisco sur les commutateurs Cisco Small Business 220 Series Smart Switches

Deux vulnérabilités ont été identifiées par les équipes de Cisco, sur des commutateurs de type Cisco Small Business 220 Series Smart Switches.

Ces vulnérabilités permettent notamment à un attaquant de faire de l'escalade de privilèges, de modifier les configurations du commutateur et d'exécuter du code arbitraire.

CVE-2019-1912 [Score CVSS 9.1]

Une vulnérabilité sur l'interface web intégré des commutateurs Cisco Small Business 220 Series Smart Switches peut permettre à un attaquant distant non authentifié d'injecter du code dans le périphérique. Cette vulnérabilité est liée à un défaut de vérification lors des tentatives d'authentification sur l'interface web du commutateur. En fonction de la configuration du commutateur, cette vulnérabilité peut s'opérer sur le port HTTP (Port 80) ou HTTPS (Port 443).

L'exploitation de cette vulnérabilité pourrait permettre à un attaquant de modifier les configurations du commutateur cible ou de provoquer une exécution de code arbitraire à distance. Cette exécution de code à distance pourrait permettre à un attaquant d'accéder à des équipements situés dans une zone protégée derrière le commutateur.

CVE-2019-1913 [Score CVSS 9.8]

Une vulnérabilité sur l'interface web intégré dans les commutateurs Cisco Small Business 220 Series Smart Switches peut permettre à un attaquant distant non authentifié de surcharger la mémoire tampon du commutateur permettant ainsi d'injecter du code dans le systèmes d'exploitation du commutateur. Le code injecté s'exécute avec des privilèges d'administration élevés ("root"). En fonction de la configuration du commutateur, cette vulnérabilité peut s'opérer sur le port HTTP (Port 80) ou le port HTTPS (Port 443). Cette vulnérabilité est liée à l'absence de validation des données fournies par l'utilisateur et à l’absence de vérification des dépassements de limites des données dans la mémoire tampon. 

Informations
+

Risque :

  • Escalade de privilège
  • Exécution de code arbitraire à distance

Criticité :

Score CVSS : 9.8 (score de vulnérabilité la plus élevée)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible

Composants et versions vulnérables

  • Cisco Small Business 220 Series Smart Switches possédant le Firmware antérieurs à 1.1.4.4 avec un l’interface web activée

CVE 

CVE-2019-1912

CVE-2019-1913


Recommandations
+

Mise en place de correctif de sécurité

Appliquez les mises à jour de sécurité déployées par Cisco

  • Cisco Small Business 220 Series Smart Switches : Firmware 1.1.4.4 avec l’interface web activée

Solution de contournement

  • Aucune solution n'a été proposée.