Cisco corrige une vulnérabilité de déni de service affectant l'un de ses produits

Une vulnérabilité de déni de service de criticité élevée a été identifiée dans l'interface de gestion de réponse vocale interactive (IVR) de Cisco Unified Customer Voice Portal (CVP). Son exploitation pourrait permettre à un attaquant distant non authentifié de provoquer la déconnexion de l’IVR.

La vulnérabilité est due à une mauvaise gestion d’une demande de connexion TCP lorsque la connexion IVR est déjà établie. Un attaquant pourrait exploiter cette vulnérabilité en initiant une connexion à l'adresse IP d’un dispositif CVP ciblé. Une exploitation de la vulnérabilité  pourrait permettre à l'attaquant de déconnecter l’IVR du CVP, ce qui empêcherait le CVP d'accepter de nouveaux appels entrants (alors que l'IVR tenterait automatiquement de rétablir la connexion avec le CVP).

Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité dans la version 11.6 du CVP.

Informations
+

Impact

  • Déni de service

Criticité

  • CVSS v3 : 8.6

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Cette vulnérabilité affecte la version 11.5 (1) du logiciel Cisco Unified Customer Voice Portal (CVP)

CVE

  • CVE-2018-0139

Recommandations
+

Correctifs

  • Cette vulnérabilité est corrigée dans les versions 11.6 ou ultérieures du Cisco Unified Customer Voice Portal (CVP) disponibles sur le centre de logiciels de Cisco.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.