Vulnérabilité critique dans des produits Cisco
Date de publication :
CVE-2022-20829[Score CVSS v3.1: 9.1] (critique)
Une validation insuffisante de l'authenticité d'une image de Cisco Adaptive Security Device Manager ou Cisco Adaptive Security Appliance Software lors de son installation permet à un attaquant, en installant une image spécialement forgée de ces solutions, d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Criticité
Score CVSS v3.1: 9.1 (critique)
La faille est activement exploitée
Non
Un correctif existe
Oui
Une mesure de contournement existe
Non
La vulnérabilité exploitée est du type
CWE-345: Insufficient Verification of Data Authenticity
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : authentification compte administrateur.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Les produits suivants sont affectés par cette vulnérabilité :
Cisco Adaptive Security Device Manager dans ses versions antérieures à la 7.18.1.150.
Cisco Adaptive Security Appliance Software dans ses versions antérieures à la 9.18.2.
Solutions ou recommandations
Pour Cisco Adaptive Security Appliance Software :
- Mettre à jour les versions 9.17 et antérieures vers une version corrigée.
- Mettre à jour la version 9.18 vers la version corrigée 9.18.2 (disponible en août 2022).
- Des informations complémentaires sont disponibles ici.
Pour Cisco Adaptive Security Device Manager
- Mettre à jour les versions 7.17 et antérieures vers une version corrigée.
- Mettre à jour la version 7.18 vers la version corrigée 7.18.1.150.
- Des informations complémentaires sont disponibles ici.