Vulnérabilité concernant SonicWall

Date de publication :

CVE-2021-20041[Score CVSSv3.1: 7.5]

Cette vulnérabilité classée de gravité élevée est due à une mauvaise gestion du contrôle des requêtes http. Celle-ci permet à un utilisateur distant et non authentifié d’envoyer des requêtes http forgées à l’url https://(domain)/fileshare/sonicfiles/sonicfiles qui provoqueraient une boucle infinie de requêtes et une utilisation excessive du processeur. L’utilisation de cette vulnérabilité peut provoquer un déni de service.

Cette vulnérabilité ne semble pas être exploitée.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

·         Déni de service

Criticité

·         Score CVSS  v3.1 : 7.5

La faille est activement exploitée

       •    Non

Un correctif existe

·         Oui

Une mesure de contournement temporaire existe

    Non

La vulnérabilité exploitée est de type

·         CWE-835 : Loop with Unreachable Exit Condition ('Infinite Loop')

Détails sur l’exploitation

·         Vecteur d’attaque : Réseau

·         Complexité de l’attaque : facile

·         Privilèges nécessaires pour réaliser l’attaque : Non

·         L’attaquant doit interagir avec la connexion d’un utilisateur : Non

·         L’exploitation de la faille permet d'obtenir des droits privilégiés : Non

 Composants vulnérables

·         Cette vulnérabilité concerne les produits

o   Les versions SonicWall SMA 100, 200, 210, 400, 410 et 500v,

§  9.0.0.11-31sv,

§  10.2.0.8-37sv,

§  10.2.1.1-19sv

Solutions ou recommandations

·        

 Il est recommandé de mettre à jour le produit vers la version SonicWall 10.2.0.9-41sv.

Liens