Une vulnérabilité critique a été identifiée et corrigée dans le script CGI des « Cisco Unified Computing systems » et sur la série 9000 de Cisco Firepower. Elle permet à un attaquant non authentifié d’exécuter des commandes arbitraires à distance.
Impact
- Exécution de code arbitraire
Criticité
- CVSS v3 : 9.8
Existence d’un code d’exploitation de la vulnérabilité
Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Cette vulnérabilité a été introduite dans la version 2.2.0 de Cisco UCS Manager. Toutes les versions 2.2.X sont impactées.
- FX-OS, le système d’exploitation de la série Firepower 9000, pour les versions antérieures à 1.1.2, est affecté.
CVE
- CVE-2015-6435
Correctifs
- Cisco UCS Manager : Les premières versions publiées corrigeant cette vulnérabilités sont : 2.2(4b), 2.2(5a), 2.2(6a), 3.0(2e), 3.1(e), et toute version ultérieure.
- Cisco Firepower 9000 Series Appliance : La première version corrigeant cette vulnérabilité est la 1.1.2. Les versions non affectées sont téléchargeable depuis le lien : https://software.cisco.com/download/release.html?mdfid=283612660&softwa…
Solution de contournement
Il n’existe pas actuellement de solution de contournement.