Une vulnérabilité critique a été identifiée sur les systèmes Cisco Secure Access Control

Une vulnérabilité critique a été identifiée sur les systèmes Cisco Secure Access Control. Elle est due à une désérialisation non sécurisée de données fournies par des utilisateurs.

L’exploitation de la vulnérabilité permettrait à un attaquant distant non authentifié d’exécuter des commandes avec des privilèges élevés.

Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Aucune solution de contournement n’existe pour l’instant. Compte tenu de la criticité de la vulnérabilité, il est conseillé de mettre à jour le produit affecté.

Informations
+

Impact

  • Exécution de code à distance avec privilèges élevés.

Criticité

  • CVSS v3 : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Cette vulnérabilité affecte toutes les versions de Cisco Secure ACS antérieures à la version 5.8 Patch 9.

CVE

  • CVE-2018-0147

Recommandations
+

Correctifs

  • Cisco a publié des mises à jour logicielles qui corrigent la vulnérabilité décrite.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.