Vulnérabilité dans l’interface CLI de Cisco

Risques

Injection de commande

Elévation de privilèges

Exécution de code arbitraire

Criticité

Score CVSS v3.1: 7.8

CVE

CVE-2021-1529

Composants vulnérables.

La vulnérabilité concerne les produits Cisco qui fonctionnent avec une publication universelle Cisco IOS XE Software en mode Controller ou une publication Standalone Cisco IOS XE SD-WAN Software.

Les produits vulnérables sont les suivants:

1000 Series Integrated Services Routers (ISRs).

4000 ISRs.

ASR 1000 Series Aggregation Services Routers.

Catalyst 8000 Series Edge Platforms.

Cloud Serces Router (CSR) 1000V Series.

Les produits qui ne sont pas concernés par la vulnérabilité sont les suivants :
 

• IOS Software
   
• IOS XE Software, fonctionnant en mode autonome.
   
• SD-WAN vBOND Orchestrator Software
   
• SD-WAN vEdge Cloud Routers
   
• SD-WAN vEdge Routers
   
• SD-WAN vManage Software
   
• SD-WAN vSmart Controller Software
   

Les produits Cisco IOS XE avec la publication universelle, concernés par la vulnérabilité et nécessitant un correctif, sont les suivants :
 

• Pour la version Cisco IOS XE 17.2, effectuer le correctif 17.2.3
   
• Pour la version Cisco IOS XE 17.3, effectuer le correctif 17.3.4
   
• Pour la version Cisco IOS XE 17.4, effectuer le correctif 17.4.2
   
• Pour la version Cisco IOS XE 17.5, effectuer le correctif 17.5.1a
   
• Pour la version Cisco IOS XE 17.6, effectuer le correctif 17.6.1
   

Il n’existe aucun correctif pour les produits Cisco IOS XE SD-WAN Software de la publication Standalone. Les utilisateurs sont invités à migrer vers les produits de la publication universelle.