Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • Cisco BroadWorks Application Delivery Platform Device Management versions 22.0 sans les correctifs de sécurité ADP_Rel_2022.11_1.273 et dms_2022.11_1.273
  • Cisco BroadWorks Xtended Services Platform version 22.0 (Cisco recommande de migrer en version 23 avec les derniers correctifs de sécurité)
  • Cisco BroadWorks Xtended Services Platform version 23.0 sans les correctifs de sécurité AP.xsp.23.0.1075.ap384245 et AP.platform.23.0.1075.ap384245
  • Cisco Industrial Network Director (IND) versions antérieures à 1.7.0
  • Cisco SIP sur les téléphones IP des séries 7800 et 8800 versions antérieures à 14.1(1)SR2
  • Cisco SIP sur les téléphones IP sans-fil 8821 versions antérieures à 11.0(6)SR4
  • Routeurs Cisco Small Business RV016, RV042, RV042G et RV082 (Cisco indique que ces routeurs sont en fin de vie)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation