Vulnérabilité dans la gamme de produits Cisco Small Business

Date de publication :

CVE-2021-1251, CVE-2021-1308 [Score CVSS v3 : 7.4] 
Une vulnérabilité dans l'implémentation du protocole LLDP pour les routeurs Cisco Small Business RV Series a été corrigée. Cette faille est due à une non validation de longueur de certains champs d'en-tête des paquets LLDP. Son exploitation peut permettre à un attaquant ayant accès au réseau local et non authentifié de provoquer un déni de service en envoyant un paquet LLDP malveillant sur un appareil affecté.

CVE-2021-1309 [Score CVSS v3 : 8.8] 
Une vulnérabilité dans l'implémentation du protocole LLDP pour les routeurs Cisco Small Business RV Series a été corrigée. Cette faille est due à une non validation de longueur de certains champs d'en-tête des paquets LLDP. Son exploitation peut permettre à un attaquant ayant accès au réseau local et non authentifié d'exécuter du code arbitraire sur un appareil affecté ou de provoquer déni de service en envoyant un paquet LLDP spécifique.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service 
  • Injection de code arbitraire

Criticité

  • Scores CVSS v3 : 8.8 max 

Existence d’un code d’exploitation

  • Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • RV132W ADSL2+ Wireless-N VPN Router
  • RV134W VDSL2 Wireless-AC VPN Router
  • RV160 VPN Router
  • RV160W Wireless-AC VPN Router
  • RV260 VPN Router
  • RV260P VPN Router with PoE
  • RV260W Wireless-AC VPN Router
  • RV320 Dual Gigabit WAN VPN Router
  • RV325 Dual Gigabit WAN VPN Router
  • RV340 Dual WAN Gigabit VPN Router
  • RV340W Dual WAN Gigabit Wireless-AC VPN Router
  • RV345 Dual WAN Gigabit VPN Router
  • RV345P Dual WAN Gigabit PoE VPN Router

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les dispositifs impactés conformément aux instructions de l’éditeur disponibles en référence de bulletin.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens