Une vulnérabilité critique permettant une exécution de commandes a été identifiée et corrigée dans Cisco UCS et sur Cisco Firepower

Une vulnérabilité critique a été identifiée et corrigée dans le script CGI des « Cisco Unified Computing systems » et sur la série 9000 de Cisco Firepower. Elle permet à un attaquant non authentifié d’exécuter des commandes arbitraires à distance.

Informations
+

Impact

  • Exécution de code arbitraire

Criticité

  • CVSS v3 : 9.8

Existence d’un code d’exploitation de la vulnérabilité

Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Cette vulnérabilité a été introduite dans la version 2.2.0 de Cisco UCS Manager. Toutes les versions 2.2.X sont impactées.
  • FX-OS, le système d’exploitation de la série Firepower 9000, pour les versions antérieures à 1.1.2, est affecté.

CVE

  • CVE-2015-6435

Recommandations
+

Correctifs

  • Cisco UCS Manager : Les premières versions publiées corrigeant cette vulnérabilités sont : 2.2(4b), 2.2(5a), 2.2(6a), 3.0(2e), 3.1(e), et toute version ultérieure.
  • Cisco Firepower 9000 Series Appliance : La première version corrigeant cette vulnérabilité est la 1.1.2. Les versions non affectées sont téléchargeable depuis le lien : https://software.cisco.com/download/release.html?mdfid=283612660&softwa…

Solution de contournement

Il n’existe pas actuellement de solution de contournement.