Multiples vulnérabilités critiques dans des produits Cisco

Date de publication :

CVE-2022-20857[Score CVSS v3.1:9.8]

Un contrôle insuffisant des données dans une interface de programmation d’application de Nexus Dashboard permet à un attaquant, en envoyant des requêtes spécialement forgées, d’exécuter du code arbitraire sur le système avec les privilèges les plus élevés.

CVE-2022-20858[Score CVSS v3.1: 8.2]

Un contrôle insuffisant des données dans un service qui s’occupe des images de conteneurs permet à un attaquant, en établissant une connexion TCP avec le service vulnérable, de porter atteinte à l’intégrité des données.

CVE-2022-20861[Score CVSS v3.1: 8.8]

Une sécurité insuffisante contre les attaques CSRF dans l’interface utilisateur de Nexus Dashboard permet à un attaquant distant, en persuadant un administrateur d'ouvrir un contenu spécialement forgé, d’exécuter du code arbitraire sur le système avec les privilèges les plus élevés.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Atteinte à l’intégrité des données

    Élévation de privilèges

    Exécution de code arbitraire

Criticité

    Score CVSS v3.1: 9.8 max (critique)  

La faille est activement exploitée

    Non, pour l’ensemble des CVE présentées.

Un correctif existe

    Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

    Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-306: Missing Authentication for Critical Function

CWE-352: Cross-Site Request Forgery (CSRF)

Détails sur l’exploitation

Pour la CVE-2022-20857

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-20858

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-20861

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Non.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour les CVE-2022-20857 et CVE-2022-20861

    Cisco Nexus Dashboard versions 1.1, 2.0, 2.1 et 2.2

Pour la CVE-2022-20858

    Cisco Nexus Dashboard versions 2.0, 2.1 et 2.2

Solutions ou recommandations

Pour l’ensemble des CVE présentées

  • Mettre à jour Cisco Nexus Dashboard vers la version 2.2(1e)
  • Des informations complémentaires sont disponibles ici.

Liens