Objet: Multiples vulnérabilités dans les produits Cisco

Risque(s)

• Exécution de code arbitraire à distance
• Déni de service à distance
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Injection de code indirecte à distance (XSS)

Systèmes affectés

• Cisco BroadWorks Application Delivery Platform Device Management versions 22.0 sans les correctifs de sécurité ADP_Rel_2022.11_1.273 et dms_2022.11_1.273
• Cisco BroadWorks Xtended Services Platform version 23.0 sans les correctifs de sécurité AP.xsp.23.0.1075.ap384245 et AP.platform.23.0.1075.ap384245
• Cisco BroadWorks Xtended Services Platform version 22.0 (Cisco recommande de migrer en version 23 avec les derniers correctifs de sécurité)
• Cisco Industrial Network Director (IND) versions antérieures à 1.7.0
• Cisco SIP sur les téléphones IP des séries 7800 et 8800 versions antérieures à 14.1(1)SR2
• Cisco SIP sur les téléphones IP sans-fil 8821 versions antérieures à 11.0(6)SR4
• Routeurs Cisco Small Business RV016, RV042, RV042G et RV082  (Cisco indique que ces routeurs sont en fin de vie)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Cisco cisco-sa-sbr042-multi-vuln-ej76Pke5 du 11 janvier 2023
  https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sbr042-multi-vuln-ej76Pke5
• Bulletin de sécurité Cisco cisco-sa-ip-phone-auth-bypass-pSqxZRPR du 11 janvier 2023
  https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ip-phone-auth-bypass-pSqxZRPR
• Bulletin de sécurité Cisco cisco-sa-ind-fZyVjJtG du 11 janvier 2023
  https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ind-fZyVjJtG
• Bulletin de sécurité Cisco cisco-sa-bw-dos-HpkeYzp du 11 janvier 2023
  https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bw-dos-HpkeYzp
• Référence CVE CVE-2023-20020
  https://www.cve.org/CVERecord?id=CVE-2023-20020
• Référence CVE CVE-2023-20037
  https://www.cve.org/CVERecord?id=CVE-2023-20037
• Référence CVE CVE-2023-20038
  https://www.cve.org/CVERecord?id=CVE-2023-20038
• Référence CVE CVE-2023-20018
  https://www.cve.org/CVERecord?id=CVE-2023-20018
• Référence CVE CVE-2023-20025
  https://www.cve.org/CVERecord?id=CVE-2023-20025
• Référence CVE CVE-2023-20026
  https://www.cve.org/CVERecord?id=CVE-2023-20026