Une vulnérabilité dans la CLI du logiciel Cisco IOS XE SD-WAN a été découverte, ce qui pourrait permettre à un attaquant local authentifié d'exécuter des commandes arbitraires avec les privilèges administrateur. La vulnérabilité a été nommée CVE-2021-1529, avec un score de gravité égale à 7.8.

La vulnérabilité est due à un manque de contrôle des entrées par le CLI du système. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter des commandes sur le système d'exploitation sous-jacent avec les privilèges de l'utilisateur root.

Cette vulnérabilité affecte les produits Cisco suivants s'ils exécutent une version vulnérable du logiciel universel Cisco IOS XE en mode contrôleur ou une version vulnérable du logiciel autonome Cisco IOS XE SD-WAN :

• Routeurs à services intégrés (ISR) de la série 1000
• Routeurs à services intégrés (ISR) de la série 4000
• Routeurs de services d'agrégation de la série ASR 1000
• Plateformes de périphérie de la série Catalyst 8000
• Routeur de services cloud (CSR) série 1000V

Cisco a publié des mises à jour logicielles gratuites qui corrigent la vulnérabilité ; les utilisateurs de ces produits sont invités à les installé pour se protéger.

Pour plus de détails sur la vulnérabilité veuillez consulter l'avis de sécurité publié par Cisco.