S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 20 avril 2006
N° CERTA-2006-AVI-168
Affaire suivie par: CERT-FR
le 20 avril 2006

Avis du CERT-FR

Objet: Vulnérabilités dans Cisco CiscoWorks WLSE

Gestion du document

Référence CERTA-2006-AVI-168
Titre Vulnérabilités dans Cisco CiscoWorks WLSE
Date de la première version 20 avril 2006
Date de la dernière version 20 avril 2006
Source(s) Bulletin de sécurité de l'éditeur Cisco
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Élévation de privilèges.

Systèmes affectés

Les versions CiscoWorks Wireless LAN Solution Engine (WLSE) et CiscoWorks WLSE Express antérieures à 2.13.

Résumé

Des vulnérabilités existent dans certaines versions de Cisco Wireless LAN Solution Engine (WLSE) et WLSE Express. Un utilisateur malveillant peut utiliser l'une de ces vulnérabilités pour élever ses privilèges à ceux d'administrateur.

Description

Cisco Wireless LAN Solution Engine (WLSE) est une application permettant de gérer et surveiller une infrastructure sans-fil Cisco. Deux vulnérabilités existent dans les versions de cette application antérieures à 2.13 :

  • l'interface web des utilisateurs peut être utilisée par un utilisateur malveillant pour faire une injection de code indirecte (Cross Site Scripting), lui permettant d'obtenir des informations de sessions suffisantes pour acquérir les droits de l'administrateur du système.
  • l'interface de commandes en ligne peut fournir un compte administrateur à un utilisateur ayant accès à cette interface et renseignant une commande particulière.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 20 avril 2006
    version initiale.