Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Cisco Catalyst SD-WAN Manager (anciennement Cisco SD-WAN vManage) versions antérieures à 20.12.1
  • Cisco IOS et IOS XE sans le dernier correctif de sécurité (vérifier sur le site de l'éditeur pour identifier les versions vulnérables)
  • Cisco DNA Center versions antérieures à 2.3.5.4
  • Cisco DNA Center versions 2.3.6.x antérieures à 2.3.7.0

Cisco précise que seules les versions 20.9.3.2 et 20.11.1.2 sont concernées par la vulnérabilité critique CVE-2023-20252. Toutefois, seule la version 20.12.1 corrige toutes les autres vulnérabilités mentionnées dans l'avis Cisco cisco-sa-sdwan-vman-sc-LRLfu2z.

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation