Risque(s)

  • exécution de code arbitraire à distance
  • déni de service à distance
  • contournement de la politique de sécurité
  • atteinte à l'intégrité des données
  • atteinte à la confidentialité des données
  • injection de code indirecte à distance
  • injection de requêtes illégitimes par rebond

Systèmes affectés

  • Cisco Wireless LAN Controller versions antérieures à 8.0.140.0
  • Cisco WebEx Meetings Player versions antérieures à T29.10
  • Cisco Virtual Media Packager (VMP) utilisant Media Origination System versions antérieures à 2.6
  • Cisco Small Business 220 Series Smart Plus (Sx220) Switches versions 1.0.0.17, 1.0.0.18, ou 1.0.0.19 et qui ont la fonctionnalité SNMP activée
  • SPA300 Series IP Phones utilisant une version de Cisco Small Business IP Phones inférieure à 7.5.7(6)
  • SPA500 Series IP Phones utilisant une version de Cisco Small Business IP Phones inférieure à 7.5.7(6)
  • SPA51x IP Phones utilisant une version de Cisco Small Business IP Phones inférieure à 7.5.7(6)
  • Cisco Hosted Collaboration Mediation Fulfillment (HCM-F) versions antérieures à 10.6(3)

Résumé

De multiples vulnérabilités ont été corrigées dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation