Cette semaine, Cisco a publié des mises à jour logicielles pour remédier à plusieurs vulnérabilités dans son portefeuille de produits, y compris des bogues de gravité critiques dans plusieurs routeurs VPN pour petites entreprises et produits SD-WAN.

La société a averti que l’interface de gestion Web des routeurs VPN RV160, RV160W, RV260, RV260P et RV260W pour petites entreprises est affectée par sept vulnérabilités graves qui pourraient être utilisées de manière abusive par des attaquants distants non authentifiés pour exécuter du code arbitraire en tant que root.

Le problème, dit Cisco, est dû à une validation incorrecte des requêtes HTTP. Notés de gravité critique (score CVSS de 9,8), les failles ont été corrigées avec la publication des versions de micrologiciel 1.0.01.02 et ultérieures pour tous les produits concernés. Deux vulnérabilités de gravité élevée ont également été corrigées dans ces appareils.

La société de technologie a également publié des correctifs pour six bogues dans les produits SD-WAN, dont le plus important est le niveau de gravité critique (score CVSS 9,9). Bien qu’ils ne dépendent pas les uns des autres, les problèmes résolus pourraient être utilisés de manière abusive pour effectuer des actions avec des privilèges root sur les appareils affectés.

Créées par une validation incorrecte des entrées fournies par l’utilisateur, les failles ont un impact sur le logiciel SD-WAN vBond Orchestrator, les routeurs SD-WAN vEdge Cloud, les routeurs SD-WAN vEdge, le logiciel SD-WAN vManage et le logiciel SD-WAN vSmart Controller.

Cisco a corrigé ces failles de sécurité dans les versions 19.2.4, 20.1.2, 20.3.2 et 20.4.1 du SD-WAN. La société note également qu’elle n’est pas au courant de l’exploitation de ces bogues dans la nature.

Cette semaine, la société a également détaillé de nombreuses failles de haute gravité dans les routeurs de la série RV pour petites entreprises, y compris un ensemble de 30 bogues menant à l’exécution de code arbitraire ou un déni de service, et un autre des 5 problèmes qu’un attaquant distant pourrait exploiter pour injecter des commandes arbitraires faites-les exécuter avec les privilèges root.

Causés par une mauvaise validation de l’entrée fournie par l’utilisateur, les défauts impactent RV016, RV042, RV042G, RV082, RV320, …