Risque

Elévation de privilèges.

Systèmes affectés

La série CSS 11000 des commutateurs Cisco CSS (également connus sous le nom Arrowpoint), est composée des modèles CSS 11050, CSS 11150 et CSS 11800. Le logiciel Cisco WebNS permet une gestion de l'équipement grâce à une interface web.

Toutes les versions du logiciel Cisco WebNS sont vulnérables sur l'ensemble des produits de la série CSS 11000. Les autres produits Cisco ne sont pas vulnérables.

Résumé

Une vulnérabilité dans la gestion par interface web des commutateurs Cisco CSS séries 1100 permet à un utilisateur mal intentionné d'outrepasser la phase d'authentification.

Description

Le logiciel Cisco WebNS permet une gestion des commutateurs CSS grâce à une interface web. Après une phase d'authentification sur le navigateur, l'utilisateur est redirigé vers une URL de gestion de l'équipement.


La connexion directe à cette URL permet à un utilisateur mal intentionné d'accéder à l'interface de gestion sans passer par la phase d'authentification. La connexion directe peut en particulier être facilitée par le stockage de l'adresse dans les favoris du navigateur.

Contournement provisoire

Solution

La vulnérabilité sera corrigée dans la nouvelle version du logiciel WebNS, qui ne sera pas disponible avant décembre 2002.

Documentation