Vulnérabilités dans Cisco HyperFlex HX
Date de publication :
CVE-2021-1497 [Score CVSS v3 : 9.8]
Une vulnérabilité dans l'interface de gestion Web de la machine virtuelle Cisco HyperFlex HX Installer a été corrigée. Cette faille est due à une validation insuffisante des données fournies par l'utilisateur. Son exploitation pourrait permettre à un attaquant distant et non authentifié d'effectuer une attaque par injection de commande contre un périphérique affecté. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter des commandes arbitraires sur un dispositif affecté en tant qu'utilisateur root.
CVE-2021-1498 [Score CVSS v3 : 9.8]
Une vulnérabilité dans l'interface de gestion Web de la plate-forme de données Cisco HyperFlex HX a été corrigée. Cette faille est due à une validation insuffisante des données fournies par l'utilisateur. Son exploitation pourrait permettre à un attaquant distant et non authentifié d'effectuer une attaque par injection de commande contre un appareil affecté. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter des commandes arbitraires sur un dispositif affecté en tant qu'utilisateur de tomcat8.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de commandes arbitraires
Criticité
- Scores CVSS v3 : 9.8 max
Existence d’un code d’exploitation
- Un exploit (POC) existe pour la CVE-2021-1497
Composants vulnérables
Les versions de Cisco HyperFlex HX suivantes sont impactées par ces vulnérabilités :
- 4.0 et antérieures
- 4.5
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Cisco HyperFlex HX vers une des versions suivantes :
- 4.0(2e)
- 4.5(2a)
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.