Cisco Parcs XXE, DOS, Les vulnérabilités d'exécution de code dans les logiciels | Threatpost


Cisco a corrigé trois vulnérabilités en trois produits cette semaine que, si elles étaient exploitées, auraient pu aboutir à un déni de service, à un crash et, dans certains cas, à une exécution de code arbitraire et à distance.

Selon les avis de sécurité publiés mercredi, chacune des vulnérabilités sont qualifiées de "haute" sévérité par Cisco.

L'une des questions, une vulnérabilité d'entité externe XML (XXE), existe dans les versions 1.1 à 3.1.6 du logiciel Prime Infrastructure de Cisco. La vulnérabilité dépend d'un administrateur qui est incité à importer un fichier XML malveillant. Ce faisant, dans l'interface utilisateur basée sur le Web, Cisco affirme qu'un attaquant distant authentifié peut atteindre l'accès en lecture et en écriture aux données stockées dans des systèmes vulnérables ou exécuter une exécution de code à distance.

Cisco souligne qu'un attaquant devrait avoir des informations d'identification utilisateur valides pour mener à bien l'attaque, mais invite néanmoins ceux qui exécutent le logiciel à réparer.

Le deuxième problème affecte le WebEx Network Recording Player de Cisco, une application utilisée dans certaines configurations pour lire les enregistrements de réunion WebEx.

Alors que le bogue ne peut pas être déclenché lors d'une réunion WebEx en direct, un attaquant pourrait déclencher plusieurs vulnérabilités de débordement de tampon dans l'application s'ils ont trompé un utilisateur pour ouvrir un fichier ARF malveillant. Les fichiers ARF sont utilisés spécifiquement pour lire et modifier les fichiers d'enregistrement WebEx. Cisco avertit qu'un attaquant pourrait envoyer un fichier ARF malveillant à une victime par courrier électronique ou URL et les convaincre de lancer le fichier, ce qui pourrait amener le joueur à …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (No Ratings Yet)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast
Aller à la barre d’outils