Cisco a annoncé cette semaine la publication de correctifs pour une vulnérabilité critique affectant ses produits Application Policy Infrastructure Controller (APIC) et Cloud APIC.

Suivi comme CVE-2021-1577 (score CVSS de 9,1), le problème existe en raison d’un contrôle d’accès incorrect. Un attaquant distant non authentifié pourrait exploiter la vulnérabilité pour télécharger des fichiers sur un appareil affecté, en obtenant la possibilité de lire ou d’écrire des fichiers arbitraires.

Il n’existe aucune solution de contournement pour remédier à la vulnérabilité. Cependant, la société a publié des correctifs pour les versions 3.2, 4.2 et 5.1 de Cisco APIC et Cloud APIC, encourageant les clients à les appliquer dès que possible ou à migrer vers une version corrigée.

Cisco a également publié des correctifs pour deux bogues de haute gravité dans APIC et Cloud APIC, qui pourraient tous deux être exploités pour élever les privilèges sur un système affecté.

Trois problèmes de gravité moyenne – un script inter-sites stocké, une injection de commande et un problème de téléchargement de fichier – ont également été résolus dans APIC et Cloud APIC.

APIC est l’un des principaux composants de la solution de mise en réseau définie par logiciel Application Centric Infrastructure (ACI) de Cisco pour les centres de données.

En outre, la société a corrigé deux vulnérabilités de haute gravité dans le logiciel NX-OS et deux dans les commutateurs de matrice Nexus 9000, entraînant toutes un déni de service (DoS). Diverses autres failles de gravité moyenne ont également été corrigées cette semaine.

Aucune de ces vulnérabilités ne semble être exploitée à l’état sauvage, selon Cisco. Des informations sur tous les bogues sont disponibles sur le portail de sécurité de Cisco.

Dans une mise à jour d’un avis publié la semaine dernière, Cisco révèle qu’il a conclu son enquête pour savoir si ses appareils sont affectés par la faille BadAlloc que BlackBerry a confirmé la semaine dernière pour affecter des versions spécifiques de QNX.

« Cisco a terminé son enquête sur sa gamme de produits afin de déterminer quels produits peuvent être affectés par cette vulnérabilité. Aucun produit…