Vulnérabilité corrigée dans Cisco Finesse (AL04/240607/CSIRT-ITA) – Mise à jour

Synthèse

Les mises à jour de sécurité Cisco corrigent 2 vulnérabilités, dont une de gravité « élevée », présentes dans le produit Finesse.

Notes (mise à jour le 21/06/2024) : un Proof of Concept (PoC) pour l’exploitation de la vulnérabilité CVE-2024-20404 est disponible en ligne.

Risque

Impact estimé de la vulnérabilité sur la communauté de référence : ÉLEVÉ/ORANGE (67,94/100)¹. (mis à jour le 21/06/2024)

Typologie

• Security Restrictions Bypass

Produits et/ou versions concernés

Cisco Finesse, versions :

• 11.6(1) ES11 et versions antérieures
• 12.6(2) ES01 et précédents

Mesures d’atténuation

Conformément aux déclarations du fournisseur, il est recommandé d’appliquer les atténuations disponibles en suivant les indications rapportées dans les bulletins de sécurité dans la section Références.

Identificateurs de vulnérabilité uniques

Vous trouverez ci-dessous les seuls CVE relatifs aux vulnérabilités de gravité « élevée » :

CVE-2024-20404

Références

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-finesse-ssrf-rfi-Um7wT8Ew

¹Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.