Vigil@nce - Cisco IOS, IOS XE : exécution de code via iox
novembre 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut injecter des commandes shell via la
commande iox de Cisco IOS et IOS XE, afin d’exécuter du code.
Produits concernés : Cisco Catalyst, IOS par Cisco, IOS XE Cisco,
Cisco Router.
Gravité : 2/4.
Date création : 22/09/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Les produits Cisco IOS et IOS XE disposent d’une interface en
ligne de commande.
L’une des commandes s’appelle iox et elle lance des commandes
shell sur le système Linux sous-jacent. Cependant, elle ne valide
pas correctement ses arguments.
Un attaquant authentifié peut donc injecter des commandes shell
via la commande iox de Cisco IOS et IOS XE, afin d’exécuter du
code.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Cisco-IOS-IOS-XE-execution-de-code-via-iox-20669