Vulnérabilités corrigées dans les produits Cisco (AL01/241107/CSIRT-ITA)

Synthèse

Les mises à jour de sécurité corrigent 25 nouvelles vulnérabilités, dont une de gravité « critique » et deux de gravité « élevée », dans certains produits Cisco.

Risque

Impact estimé de la vulnérabilité sur la communauté de référence : ÉLEVÉ/ORANGE (66,66/100)¹.

Typologie

• Arbitrary Code Execution
• Arbitrary File Write/Read/Delete
• Denial of Service

Produits et/ou versions concernés

Cisco

• Unified Industrial Wireless Software, versions antérieures à 17.15.1
• NDFC, versions 12.1.2 et 12.1.3
• ECE, versions antérieures à 12.5(1) ES9
• ECE 12.6, versions antérieures à 12.6(1) ES9 ET3

N.B. : Veuillez noter que les produits répertoriés sont vulnérables s’ils sont configurés comme indiqué dans les bulletins de sécurité Cisco concernés.

Mesures d’atténuation

Il est recommandé de mettre à jour les produits vulnérables en suivant les instructions fournies par le fournisseur pour chaque produit concerné et signalées dans les bulletins de sécurité disponibles via les liens dans la section Références.

Identificateurs de vulnérabilité uniques

Vous trouverez ci-dessous les seuls CVE relatifs aux vulnérabilités de gravité « critique » et « élevée » :

CVE-2024-20418

CVE-2024-20536

CVE-2024-20484

Références

https://sec.cloudapps.cisco.com/security/center/publicationListing.x

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-backhaul-ap-cmdinj-R7E28Ecs

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-sqli-CyPPAxrL

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ece-dos-Oqb9uFEv

¹Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.