Cisco corrige des vulnérabilités critiques et importantes dans ses produits

Cisco Systems a corrigé mercredi trois failles critiques et quatre failles de criticité élevées dans ses produits.

Les vulnérabilités critiques permettraient à un attaquant non authentifié et distant de contourner les contrôles d'authentification et d'attaquer les fonctions de base de la plate-forme DNA (versions logicielles Cisco DNA Center 1.1.3 et antérieures). Les références associées à ces vulnérabilités sont les suivantes : 

  • CVE-2018-0271 (CVSS : 10) est liée à un échec de normalisation des URL avant leur traitement.
  • CVE-2018-0222 (CVSS : 10) est liée à la présence d'informations d'identification d'utilisateur statiques non documentées dans le compte administratif par défaut du logiciel.
  • CVE-2018-0268 (CVSS : 10) est liée à une configuration par défaut non sécurisée du sous-système de gestion des conteneurs Kubernetes au sein de DNA Center.

Les vulnérabilités élevées affectent plusieurs autres produits:

  • CVE-2018-0279 (CVSS : 6,3) est liée à une vulnérabilité d'accès au shell Linux impactant le logiciel d'infrastructure de virtualisation de la fonction réseau de Cisco.
  • CVE-2018-0270 (CVSS : 8,1) est liée à une faille XSS dans sa plate-forme IoT Field Network Director.
  • CVE-2018-0277 (CVSS : 8,6) est liée à un défaut de validation de certificat dans le moteur de services d'identité de l'entreprise.
  • CVE-2018-0280 (CVSS : 7,5) est liée à un mauvais traitement des flux binaires Real-Time Transport Protocol (RTP) dans Cisco Meeting Server.