Une vulnérabilité d'exécution de code à distance critique a été corrigée dans Cisco Unified Communications Domain Manager

Une vulnérabilité d’exécution de code à distance critique a été corrigée dans Cisco Unified Communications Domain Manager. Elle pourrait permettre à un attaquant distant non authentifié de contourner les protections de sécurité, d'obtenir des privilèges élevés et d'exécuter du code.

La vulnérabilité est due à une génération de clé non sécurisée lors de la configuration de l'application. Un attaquant pourrait exploiter cette vulnérabilité en utilisant une clé connue pour contourner les protections de sécurité. Il pourrait donc envoyer des requêtes à une application ciblée en utilisant cette clé et ainsi exécuter du code à distance.

Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité.

Informations
+

Impact

  • Exécution de code à distance

Criticité

  • CVSS v3 : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Cette vulnérabilité affecte les versions de Cisco Unified Communications Domain Manager antérieures à 11.5

CVE

  • CVE-2018-0124

Recommandations
+

Correctifs

  • La vulnérabilité est corrigée dans les versions 11.5 et ultérieures de Cisco Unified Communications Domain Manager.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.