Vigil@nce - Cisco AnyConnect : élévation de privilèges via vpnagent
août 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut lancer vpnagent de Cisco AnyConnect avec une
ligne de commande invalide, afin d’élever ses privilèges.
Produits concernés : Cisco AnyConnect Secure Mobility Client,
AnyConnect VPN Client
Gravité : 2/4
Date création : 03/06/2015
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Cisco AnyConnect Secure Mobility Client pour Linux
contient un programme vpnagent.
Cependant, ce programme ne vérifie pas correctement les options
de sa ligne de commande avant d’exécuter des commandes avec les
droits d’adminsitration.
Un attaquant peut donc lancer vpnagent de Cisco AnyConnect avec
une ligne de commande invalide, afin d’élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Cisco-AnyConnect-elevation-de-privileges-via-vpnagent-17046