• Votre panier est vide.

  • LOGIN

Cisco et VMware corrigent les vulnérabilités critiques


Certains articles de veille peuvent faire l'objet de traduction automatique.


08 juin 2023Ravie LakshmananSécurité réseau / Vulnérabilité

VMware a libéré mises à jour de sécurité pour corriger un trio de failles dans Aria Operations for Networks qui pourraient entraîner la divulgation d’informations et l’exécution de code à distance.

La plus critique des trois vulnérabilités est une vulnérabilité d’injection de commande suivie comme CVE-2023-20887 (score CVSS : 9,8) qui pourrait permettre à un acteur malveillant disposant d’un accès au réseau d’exécuter du code à distance.

Également patché par VMware est un autre vulnérabilité de désérialisation (CVE-2023-20888) qui est noté 9,1 sur un maximum de 10 sur le système de notation CVSS.

« Un acteur malveillant disposant d’un accès réseau à VMware Aria Operations for Networks et d’informations d’identification de rôle » membre « valides peut être en mesure d’effectuer une attaque de désérialisation entraînant l’exécution de code à distance », a déclaré la société dans un avis.

La cyber-sécurité

Le troisième défaut de sécurité est un bogue de divulgation d’informations très grave (CVE-2023-20889score CVSS : 8,8) qui pourrait permettre à un acteur disposant d’un accès au réseau d’effectuer une attaque par injection de commande et d’accéder à des données sensibles.

Les trois défauts, qui impactent VMware Aria Operations Networks version 6.x, ont été corrigé dans les versions suivantes : 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 et 6.10. Il n’existe aucune solution de contournement qui atténue les problèmes.

L’alerte arrive alors que Cisco expédié corrige une faille critique dans sa série Expressway et TelePresence Video Communication Server (VCS) qui pourrait « permettre à un attaquant authentifié avec des informations d’identification en lecture seule de niveau administrateur d’élever ses privilèges à administrateur avec des informations d’identification en lecture-écriture sur un système affecté ».

La faille d’escalade de privilèges (CVE-2023-20105, score CVSS : 9,6), a-t-il déclaré, découle d’une gestion incorrecte des demandes de changement de mot de passe, permettant ainsi à un attaquant de modifier les mots de passe de n’importe quel utilisateur sur le système, y compris un accès administratif en lecture-écriture. utilisateur, puis usurper l’identité de cet utilisateur.

WEBINAIRE À VENIR

🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque

Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !

Rejoindre la séance

Une deuxième vulnérabilité de gravité élevée dans le même produit (CVE-2023-20192, score CVSS : 8,4) pourrait permettre à un attaquant local authentifié d’exécuter des commandes et de modifier les paramètres de configuration du système.

Comme solution de contournement pour CVE-2023-20192, Cisco recommande aux clients de désactiver l’accès CLI pour les utilisateurs en lecture seule. Les deux problèmes ont été résolus dans les versions 14.2.1 et 14.3.0 de VCS, respectivement.

Bien qu’il n’y ait aucune preuve que l’un des défauts susmentionnés ait été abusé dans la nature, il est fortement conseillé de corriger les vulnérabilités dès que possible pour atténuer les risques potentiels.

Les avis suivent également les Découverte de trois bogues de sécurité dans RenderDoc (CVE-2023-33863, CVE-2023-33864et CVE-2023-33865), un débogueur graphique open source, qui pourrait permettre à un avis d’obtenir des privilèges élevés et d’exécuter du code arbitraire.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

Voir aussi :

juin 8, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)