Cisco a signalé et a corrigé plusieurs vulnérabilités de sécurité de haute gravité dans ses produits Web Security Appliance (WSA), Intersight Virtual Appliance, Small Business 220 switches, et d'autres produits.

L'exploitation réussie de ces vulnérabilités pourrait permettre à des attaquants de provoquer un déni de service (DoS), d'exécuter des commandes arbitraires en tant que root ou d'élever leurs privilèges.

Pour les commutateurs intelligents de la série Small Business 220, deux problèmes de haute gravité (CVE-2021-34779, CVE-2021-34780) ont été découverts dans leur implémentation du protocole LLDP (Link Layer Discovery Protocol) conduisant à l'exécution de code arbitraire et à un déni de service.

Une autre vulnérabilité grave (CVE-2021-34748) de validation insuffisante des entrées dans l'Appliance Virtual Intersight pourrait conduire à l'exécution de commandes arbitraires avec les privilèges de l'administrateur.

Cisco a également résolu deux vulnérabilités de haute gravité dans le logiciel multiplateforme (MPP) des séries ATA 190 et ATA 190. Répertoriées sous les noms de CVE-2021-34710 et CVE-2021-34735, ces failles pouvaient être exploitées respectivement pour l'exécution de code à distance et pour provoquer un déni de service (DoS).

De plus, Cisco a corrigé une faille de gestion incorrecte de la mémoire dans AsyncOS pour Web Security Appliance (WSA) qui pourrait conduire à un déni de service, ainsi qu’une faille dans l'API REST de Cisco Identity Services Engine (ISE) pouvant etre exploitée par un attaquant en position de Man in the Middle pour exécuter des commandes arbitraires avec les privilèges de l'administrateur.

De même, d’autres failles de gravité moyennes affectant TelePresence CE et RoomOS, Smart Software Manager On-Prem, les commutateurs professionnels de la série 220, Identity Services Engine, le logiciel IP Phone, Email Security Appliance (ESA), DNA Center et Orbital ont été corrigé.

Des détails supplémentaires sur les problèmes résolus sont disponibles sur l’avis de sécurité de Cisco. Les administrateurs des équipements affectés sont invités à appliquer des correctifs dans les plus brefs délais.