Multiples vulnérabilités dans les produits Cisco

Gestion du document

Référence	CERTFR-2022-AVI-885
Titre	Multiples vulnérabilités dans les produits Cisco
Date de la première version	06 octobre 2022
Date de la dernière version	06 octobre 2022
Source(s)	Bulletin de sécurité Cisco cisco-sa-expressway-csrf-sqpsSfY6 du 05 octobre 2022 Bulletin de sécurité Cisco cisco-sa-NFVIS-ISV-BQrvEv2h du 05 octobre 2022
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Contournement de la politique de sécurité
Élévation de privilèges
Injection de requêtes illégitimes par rebond (CSRF)
Déni de service à distance

Systèmes affectés

Cisco Expressway Series versions antérieures à 14.2
Cisco TelePresence VCS versions antérieures à 14.2
Cisco Enterprise NFVIS versions antérieures à 4.9.1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une élévation de privilèges, un déni de service à distance et une injection de requêtes illégitimes par rebond (CSRF).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Cisco cisco-sa-expressway-csrf-sqpsSfY6 du 05 octobre 2022
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-csrf-sqpsSfY6
Bulletin de sécurité Cisco cisco-sa-NFVIS-ISV-BQrvEv2h du 05 octobre 2022
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-NFVIS-ISV-BQrvEv2h
Référence CVE CVE-2022-20814
https://www.cve.org/CVERecord?id=CVE-2022-20814
Référence CVE CVE-2022-20853
https://www.cve.org/CVERecord?id=CVE-2022-20853
Référence CVE CVE-2022-20929
https://www.cve.org/CVERecord?id=CVE-2022-20929

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Cisco