Vigil@nce - Cisco IOS-XE 3S : élévation de privilèges
février 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut injecter une commande sur Cisco
IOS-XE 3S, afin d’élever ses privilèges.
Produits concernés : Cisco ASR, IOS XE Cisco.
Gravité : 2/4.
Date création : 01/12/2015.
Date révision : 03/12/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Cisco IOS-XE 3S permet aux utilisateurs authentifiés
d’accéder à la CLI (command-line interface).
Cependant, une commande CLI contenant un nom de fichier spécial
permet d’injecter une sous-commande shell qui s’exécute avec les
droits root.
Un attaquant authentifié peut donc injecter une commande sur
Cisco IOS-XE 3S, afin d’élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Cisco-IOS-XE-3S-elevation-de-privileges-18406