Vulnérabilité dans la gamme de produits Cisco Small Business

CVE-2021-1251, CVE-2021-1308 [Score CVSS v3 : 7.4] : Une vulnérabilité dans l'implémentation du protocole LLDP pour les routeurs Cisco Small Business RV Series a été corrigée. Cette faille est due à une non validation de longueur de certains champs d'en-tête des paquets LLDP. Son exploitation peut permettre à un attaquant ayant accès au réseau local et non authentifié de provoquer un déni de service en envoyant un paquet LLDP malveillant sur un appareil affecté.

CVE-2021-1309 [Score CVSS v3 : 8.8] : Une vulnérabilité dans l'implémentation du protocole LLDP pour les routeurs Cisco Small Business RV Series a été corrigée. Cette faille est due à une non validation de longueur de certains champs d'en-tête des paquets LLDP. Son exploitation peut permettre à un attaquant ayant accès au réseau local et non authentifié d'exécuter du code arbitraire sur un appareil affecté ou de provoquer déni de service en envoyant un paquet LLDP spécifique.

Informations
+

Risques

  • Déni de service 
  • Injection de code arbitraire

Criticité

  • Scores CVSS v3 : 7.4 ; 8.8

Existence d’un code d’exploitation

  • Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • RV132W ADSL2+ Wireless-N VPN Router
  • RV134W VDSL2 Wireless-AC VPN Router
  • RV160 VPN Router
  • RV160W Wireless-AC VPN Router
  • RV260 VPN Router
  • RV260P VPN Router with PoE
  • RV260W Wireless-AC VPN Router
  • RV320 Dual Gigabit WAN VPN Router
  • RV325 Dual Gigabit WAN VPN Router
  • RV340 Dual WAN Gigabit VPN Router
  • RV340W Dual WAN Gigabit Wireless-AC VPN Router
  • RV345 Dual WAN Gigabit VPN Router
  • RV345P Dual WAN Gigabit PoE VPN Router

CVE


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour les dispositifs impactés conformément aux instructions de l’éditeur disponibles en référence de bulletin.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.