Une vulnérabilité critique a été identifiée sur les systèmes Cisco Secure Access Control. Elle est due à une désérialisation non sécurisée de données fournies par des utilisateurs.
L’exploitation de la vulnérabilité permettrait à un attaquant distant non authentifié d’exécuter des commandes avec des privilèges élevés.
Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Aucune solution de contournement n’existe pour l’instant. Compte tenu de la criticité de la vulnérabilité, il est conseillé de mettre à jour le produit affecté.
Informations
+
Impact
- Exécution de code à distance avec privilèges élevés.
Criticité
- CVSS v3 : 9.8
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Cette vulnérabilité affecte toutes les versions de Cisco Secure ACS antérieures à la version 5.8 Patch 9.
CVE
- CVE-2018-0147
Recommandations
+
Correctifs
- Cisco a publié des mises à jour logicielles qui corrigent la vulnérabilité décrite.
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.
Liens
+