Vulnérabilités dans Cisco Business Process Automation
Date de publication :
CVE-2021-1574, CVE-2021-1576 [Score CVSS v3 : 8.8 / 6.5]
Deux vulnérabilités dans l'interface de gestion Web de Cisco Business Process Automation (BPA) ont été corrigées. Leurs exploitations pourraient permettre à un attaquant distant et authentifié d'élever ses privilèges au rang d'administrateur en soumettant des requêtes HTTP modifiées. Ces failles sont dues à une mauvaise application des autorisations pour certaines fonctionnalités et pour l'accès aux fichiers journaux qui contiennent des informations confidentielles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Elévation de privilèges
Criticité
-
Scores CVSS v3 : 8.8 max
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
-
Cisco BPA versions antérieures à 3.1.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Les versions de Cisco BPA antérieures à la version 3.1.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.