Cisco a publié aujourd’hui des mises à jour de sécurité pour remédier à l’exécution critique de code à distance (RCE), au contournement de l’authentification et aux vulnérabilités d’identification par défaut statiques affectant plusieurs périphériques de routeur et de pare-feu qui pourraient conduire à une prise de contrôle complète des périphériques.

Cisco a également publié une mise à jour de sécurité pour corriger une vulnérabilité d’élévation de privilèges dans le logiciel Cisco Prime License Manager.

Selon la société, aucune solution de contournement ne pourrait être appliquée pour remédier à ces vulnérabilités.

Les cinq failles de sécurité corrigées aujourd’hui ont reçu une note de gravité qualitative de 9,8 CVSS de base, ce qui en fait toutes des vulnérabilités critiques.

Paramètres de base CVSS

Exploitable à distance par des attaquants non authentifiés

Ils peuvent également être exploités à distance par des attaquants non authentifiés dans le cadre d’attaques de faible complexité qui ne nécessitent pas d’interaction avec l’utilisateur.

Une liste complète de tous les problèmes de sécurité critiques traités par Cisco aujourd’hui est disponible dans le tableau ci-dessous, ainsi que des liens vers leurs avis de sécurité respectifs.

VulnérabilitéCVE-ID
Vulnérabilité statique par défaut des informations d’identification par défaut du pare-feu VPN Cisco Small Business RV110WCVE-2020-3330
Vulnérabilité d’exécution de commande à distance dans l’interface de gestion des routeurs Cisco Small Business RV110W, RV130, RV130W et RV215WCVE-2020-3323
Vulnérabilité de contournement de l’authentification des routeurs Cisco RV110W, RV130, RV130W et RV215WCVE-2020-3144
Vulnérabilité d’exécution de code arbitraire dans les routeurs des gammes RV110W et RV215W de CiscoCVE-2020-3331
Vulnérabilité d’escalade de privilèges dans Cisco Prime License ManagerCVE-2020-3140

« L’équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) n’a connaissance d’aucune annonce publique ou d’une utilisation malveillante de la vulnérabilité décrite dans cet avis », indique la société dans les cinq avis.

Les vulnérabilités ont été signalées à Cisco par les chercheurs en sécurité externes suivants: Larryxi de XDSEC, Gyengtak Kim, Jeongun Baek et …

Voir la source de cette publication