Vulnérabilité dans l’interface CLI de Cisco
Date de publication :
CVE-2021-1529[Score CVSS v3.1: 7.8]
Une vulnérabilité de type « injection de commandes » a été découverte dans l’interface CLI (Command-Line Interface) de Cisco IOS XE SD-WAN.Dû à un manque de vérification dans les données entrées, un attaquant local et authentifié peut exécuter du code arbitraire avec le niveau de privilège root.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de commande
- Elévation de privilèges
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1: 7.8
CVE
Composants vulnérables.
La vulnérabilité concerne les produits Cisco qui fonctionnent avec une publication universelle Cisco IOS XE Software en mode Controller ou une publication Standalone Cisco IOS XE SD-WAN Software.
Les produits vulnérables sont les suivants:
- 1000 Series Integrated Services Routers (ISRs).
- 4000 ISRs.
- ASR 1000 Series Aggregation Services Routers.
- Catalyst 8000 Series Edge Platforms.
- Cloud Serces Router (CSR) 1000V Series.
Solutions ou recommandations
Les produits qui ne sont pas concernés par la vulnérabilité sont les suivants :
- IOS Software
- IOS XE Software, fonctionnant en mode autonome.
- SD-WAN vBOND Orchestrator Software
- SD-WAN vEdge Cloud Routers
- SD-WAN vEdge Routers
- SD-WAN vManage Software
- SD-WAN vSmart Controller Software
Les produits Cisco IOS XE avec la publication universelle, concernés par la vulnérabilité et nécessitant un correctif, sont les suivants :
- Pour la version Cisco IOS XE 17.2, effectuer le correctif 17.2.3
- Pour la version Cisco IOS XE 17.3, effectuer le correctif 17.3.4
- Pour la version Cisco IOS XE 17.4, effectuer le correctif 17.4.2
- Pour la version Cisco IOS XE 17.5, effectuer le correctif 17.5.1a
- Pour la version Cisco IOS XE 17.6, effectuer le correctif 17.6.1
Il n’existe aucun correctif pour les produits Cisco IOS XE SD-WAN Software de la publication Standalone. Les utilisateurs sont invités à migrer vers les produits de la publication universelle.