Vulnérabilités dans des produits Cisco

Plusieurs vulnérabilités ont été découvertes dans des produits Cisco. Elles peuvent permettre à un attaquant de provoquer un contournement d’authentification, une élévation de privilèges, une exécution de code arbitraire ou un déni de service.

CVE-2020-3446 [Score CVSS v3 : 9.8] : Une vulnérabilité permettant un contournement d’authentification a été découverte dans des images Cisco Virtual Wide Area Application Services (vWAAS) avec Cisco Enterprise NFV Infrastructure Software (NFVIS) utilisées pour les appareils Cisco ENCS 5400-W Series et CSP 5000-W Series. Cette vulnérabilité est due à des comptes ayant des mots de passes génériques et statiques et peut être exploitée par un attaquant distant afin d’obtenir des droits d’administrateur. 

CVE-2020-3443 [Score CVSS v3 : 8.8] : Une vulnérabilité permettant une élévation de privilèges a été découverte dans Cisco Smart Software Manager On-Prem. Elle est due à des défauts dans les autorisations accordées au rôle de System Operator. Un attaquant distant et possédant des droits de System Operator peut exploiter cette vulnérabilité. 

CVE-2020-3506, CVE-2020-3507 [Score CVSS v3 : 8.8] : Plusieurs vulnérabilités pouvant permettre une exécution de code arbitraire ou un redémarrage ont été découvertes dans l’implémentation du Cisco Discovery Protocol (CDP) pour les appareils Cisco Video Surveillance 8000 Series IP Cameras. Elles sont dues à des erreurs lors du traitement par les caméras de paquets CDP. Un attaquant distant peut exploiter ces vulnérabilités via un paquet CDP spécialement conçu.