Vulnérabilités dans Cisco HyperFlex HX

CVE-2021-1497 [Score CVSS v3 : 9.8] : Une vulnérabilité dans l'interface de gestion Web de la machine virtuelle Cisco HyperFlex HX Installer a été corrigée. Cette faille est due à une validation insuffisante des données fournies par l'utilisateur. Son exploitation pourrait permettre à un attaquant distant et non authentifié d'effectuer une attaque par injection de commande contre un périphérique affecté. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter des commandes arbitraires sur un dispositif affecté en tant qu'utilisateur root.

CVE-2021-1498 [Score CVSS v3 : 9.8] : Une vulnérabilité dans l'interface de gestion Web de la plate-forme de données Cisco HyperFlex HX a été corrigée. Cette faille est due à une validation insuffisante des données fournies par l'utilisateur. Son exploitation pourrait permettre à un attaquant distant et non authentifié d'effectuer une attaque par injection de commande contre un appareil affecté. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter des commandes arbitraires sur un dispositif affecté en tant qu'utilisateur de tomcat8.

Informations
+

Risques

  • Exécution de commandes arbitraires

Criticité

  • Scores CVSS v3 : 9.8

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

Les versions de Cisco HyperFlex HX suivantes sont impactées par ces vulnérabilités :

  • 4.0 et antérieures
  • 4.5

CVE


Recommandations
+

Mise en place de correctifs de sécurité

Mettre à jour Cisco HyperFlex HX vers une des versions suivantes :

  • 4.0(2e)
  • 4.5(2a)

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.