BULLETIN D'ALERTES
| Object | Multiples vulnérabilités dans Cisco IOS XE |
|---|---|
| Réference | 1061 |
| Date de Publication | 2023-10-24 |
| Sévérité | Critique |
IMPACT :
- Prise de contrôle du système affecté
- Pertes de l’intégrité
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
SYSTÉME AFFECTÉ :
- Cisco IOS XE versions 17.9.x antérieures à 17.9.4a(disponible)
- Cisco IOS XE versions 17.6.x antérieures à 17.6.6a(non disponible)
- Cisco IOS XE versions 17.3.x antérieures à 17.3.8a(non disponible)
- Cisco IOS XE sur Catalyst 3650 et 3850 versions16.12.x antérieures à 16.12.10a(non disponible)
DÉSCRIPTION :
Cisco a publié une mise à jour de sécurité pour corriger deux vulnérabilités critiques dans son logiciel IOS XE. Ces vulnérabilités, CVE-2023-20198 et CVE-2023-20273, sont actuellement exploitées . Elles permettent à un attaquant de prendre le contrôle d'un système IOS XE dont la fonction web UI est activée.
SOLUTION :
Cisco affirme que seule la version "17.9.4a" est disponible. Les autres versions ne sont pas encore disponibles. Pour obtenir les dernières mises à jour de sécurité, veuillez consulter le bulletin de sécurité Cisco.
DOCUMENTATION :
- Bulletin de sécurité Cisco du 16 Octobre 2023: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-saiosxe-webui-privesc-j22SaA4z
- Bulletin de sécurité DJ-CERT du 17 Octobre 2023:
https://cert.gouv.dj/Alertes/getAlertesDetails/1vgnRm6
- CVE-2023-20198
https://nvd.nist.gov/vuln/detail/CVE-2023-20198
- CVE-2023-20273