Vulnérabilité dans logiciel Cisco DNA Center

CVE-2021-1257 [Score CVSS v3 : 8.8] : Une vulnérabilité dans l'interface web de gestion du logiciel Cisco DNA Center peut permettre à un attaquant distant et non authentifié de perpétrer une attaque CSRF (cross-site request forgery) pour leurrer un utilisateur authentifié afin qu'il exécute des actions malveillantes sans qu'il en soit conscient ou sans son consentement.

La vulnérabilité est due à l'insuffisance des protections CSRF pour l'interface de gestion basée sur le web d'un dispositif affecté. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité en persuadant un utilisateur de l'interface de gestion basée sur le web de suivre un lien spécialement conçu à cet effet. Une exploitation réussie pourrait permettre à l'attaquant d'effectuer des actions arbitraires sur le dispositif avec les privilèges de l'utilisateur authentifié. Ces actions comprennent la modification de la configuration du dispositif, la déconnexion de la session de l'utilisateur et l'exécution des commandes du Command Runner.

Informations
+

Risques

  • Injection de commandes arbitraires

  • Déni de service

  • Violation des politiques de sécurité

Criticité

  • Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible à l’heure actuelle.

Composants vulnérables

  • Cisco DNA Center <v2.1.1v.0

CVE


Recommandations
+

Mise en place de correctifs de sécurité

  • Installer le patch de sécurité Cisco pour les versions 2.1.1.0,2.1.2.0 et 2.1.2.3 de Cisco DNA Center

Ou

  • Mettre à jour Cisco DNA Center vers la version 2.1.2.4 (recommandé).

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.