Vulnérabilités dans les routeurs Cisco
Date de publication :
CVE-2022-20706[Score CVSS v3.1: 8.3]
Le manque de contrôle des données entrées par l’utilisateur dans le module Plug-and-Play peut permettre à un attaquant d’injecter des commandes ou exécuter du code arbitraire sur le système.
CVE-2022-20711[Score CVSS v3.1: 8.2]
L’insuffisance du contrôle des données entrées dans l’interface web peut permettre à un attaquant d’utiliser des requêtes http pour écraser ou exfiltrer des données sensibles.
CVE-2022-20707CVE-2022-20749 [Score CVSS v3.1: 7.3]
L’insuffisance de vérification des données entrées par l’utilisateur dans l’interface web de gestion peut permettre à un attaquant d’injecter et d’exécuter du code arbitraire sur le système.
CVE-2022-20712[Score CVSS v3.1: 7.3]
Un contrôle incorrect de la taille des requêtes http peut permettre à un attaquant d’utiliser des requêtes pour exécuter du code arbitraire sur le système avec les privilèges les plus élevés.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Élévation de privilèges
Exécution de code arbitraire
Injection de commande
Atteinte à la confidentialité des données
Criticité
Score CVSS v3.1: 8.3 max
La faille est activement exploitée
Non, pour les 2 CVE présentés
Un correctif existe
Oui, pour les 2 CVE présentés
Une mesure de contournement existe
Non, pour les 2 CVE présentés
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-20706
Pour la CVE-2022-20711
Pour la CVE-2022-20707
Pour la CVE-2022-20749
Pour la CVE-2022-20712
Détails sur l’exploitation
Pour la CVE-2022-20706
Vecteur d’attaque : Réseau
Complexité de l’attaque : Haute
Privilèges nécessaires pour réaliser l’attaque : Aucun
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2022-20711 CVE-2022-20707CVE-2022-20749CVE-2022-20712
Vecteur d’attaque : Réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Aucun
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
Pour la CVE-2022-20706
Cisco RV340W Dual WAN Gigabit Wireless-AC VPN Router
Cisco RV340 Dual WAN Gigabit VPN Router
Cisco RV345 Dual WAN Gigabit VPN Router
Cisco RV345P Dual WAN Gigabit POE VPN Router
Cisco RV160 VPN Router
Cisco RV160W Wireless-AC VPN Router
Cisco RV260 VPN Router
Cisco RV260P VPN Router with PoE
Cisco RV260W Wireless-AC VPN Router
Pour la CVE-2022-20711CVE-2022-20707CVE-2022-20749
Cisco RV340W Dual WAN Gigabit Wireless-AC VPN Router
Cisco RV340 Dual WAN Gigabit VPN Router
Cisco RV345 Dual WAN Gigabit VPN Router
Cisco RV345P Dual WAN Gigabit POE VPN Router
Pour la CVE-2022-20712
Cisco RV340W Dual WAN Gigabit Wireless-AC VPN Router
Cisco RV340 Dual WAN Gigabit VPN Router
Cisco RV345 Dual WAN Gigabit VPN Router
Cisco RV345P Dual WAN Gigabit POE VPN Router
Cisco RV160 VPN Router
Cisco RV160W Wireless-AC VPN Router
Cisco RV260 VPN Router
Cisco RV260P VPN Router with PoE
Cisco RV260W Wireless-AC VPN Router
Solutions ou recommandations
Pour la CVE-2022-20706
- Des informations supplémentaires sont disponibles ici.
- Pour les produits RV160 et RV260 Series Routers, appliquer la mise à jour vers la version 1.0.01.07
- Pour les produits RV340 et RV345 Series Routers, appliquer la mise à jour vers la version 1.0.03.26
Pour la CVE-2022-20711CVE-2022-20707CVE-2022-20749
- Des informations supplémentaires sont disponibles ici.
- Pour les produits RV340 et RV345 Series Routers, appliquer la mise à jour vers la version 1.0.03.26
Pour la CVE-2022-20712
- Des informations supplémentaires sont disponibles ici.
- Pour les produits RV160 et RV260 Series Routers, appliquer la mise à jour vers la version 1.0.01.07
- Pour les produits RV340 et RV345 Series Routers, appliquer la mise à jour vers la version 1.0.03.26