Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Cisco SD-WAN vManage versions 20.6.3.x postérieures à 20.6.3.2 et antérieures à 20.6.3.4
- Cisco SD-WAN vManage versions 20.6.4.x antérieures à 20.6.4.2
- Cisco SD-WAN vManage versions 20.6.5.x antérieures à 20.6.5.5
- Cisco SD-WAN vManage versions 20.7.x
- Cisco SD-WAN vManage versions 20.8.x
- Cisco SD-WAN vManage versions 20.9.x.x antérieures à 20.9.3.2
- Cisco SD-WAN vManage versions 20.10.x.x antérieures à 20.10.1.2
- Cisco SD-WAN vManage versions 20.11.x.x antérieures à 20.11.1.2
Les versions 20.7.x et 20.8.x ne sont plus maintenues par l'éditeur et ne disposeront pas de correctifs.
Résumé
Une vulnérabilité a été découverte dans les produits Cisco SD-WAN vManage. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données, un contournement de la politique de sécurité et une exécution de code arbitraire à distance
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco cisco-sa-vmanage-unauthapi-sphCLYPA du 12 juillet 2023 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-unauthapi-sphCLYPA
- Référence CVE CVE-2023-20214 https://www.cve.org/CVERecord?id=CVE-2023-20214