Risque

  • Élévation de privilèges

Systèmes affectés

Les versions CiscoWorks Wireless LAN Solution Engine (WLSE) et CiscoWorks WLSE Express antérieures à 2.13.

Résumé

Des vulnérabilités existent dans certaines versions de Cisco Wireless LAN Solution Engine (WLSE) et WLSE Express. Un utilisateur malveillant peut utiliser l'une de ces vulnérabilités pour élever ses privilèges à ceux d'administrateur.

Description

Cisco Wireless LAN Solution Engine (WLSE) est une application permettant de gérer et surveiller une infrastructure sans-fil Cisco. Deux vulnérabilités existent dans les versions de cette application antérieures à 2.13 :

  • l'interface web des utilisateurs peut être utilisée par un utilisateur malveillant pour faire une injection de code indirecte (Cross Site Scripting), lui permettant d'obtenir des informations de sessions suffisantes pour acquérir les droits de l'administrateur du système.
  • l'interface de commandes en ligne peut fournir un compte administrateur à un utilisateur ayant accès à cette interface et renseignant une commande particulière.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation