Risques
- Atteinte à l'intégrité des données
- Déni de service à distance
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- Cisco APIC versions 4.2.x à 5.2.x antérieures à 5.2(7g)
- Cisco APIC versions 6.0.x antérieures à 6.0(2e)
- Cisco Cloud Network Controller (anciennement Cisco APIC) versions 4.2.x à 25.0.x antérieures à 26.0
- Cisco Nexus 9000 Series Fabric Switches (ACI Mode) sans le dernier correctif de sécurité
Résumé
De multiples vulnérabilités ont été corrigées dans Cisco. Elles permettent à un attaquant de provoquer une injection de requêtes illégitimes par rebond (CSRF) et à l'intégrité des données et un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco Security Advisory cisco-sa-aci-lldp-dos-ySCNZOpX du 22 février 2023 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-aci-lldp-dos-ySCNZOpX
- Bulletin de sécurité Cisco Security Advisory cisco-sa-capic-csrfv-DMx6KSwV du 22 février 2023 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-csrfv-DMx6KSwV
- Référence CVE CVE-2023-20011 https://www.cve.org/CVERecord?id=CVE-2023-20011
- Référence CVE CVE-2023-20089 https://www.cve.org/CVERecord?id=CVE-2023-20089
