annonce de vulnérabilité CVE-2010-0146 CVE-2010-0147 CVE-2010-0148
Cisco Security Agent : trois vulnérabilités
Synthèse de la vulnérabilité
Un attaquant peut employer trois vulnérabilités de Cisco Security Agent, afin d'accéder aux fichiers, de mener une injection SQL, ou de créer un déni de service.
Produits concernés : Secure ACS, Cisco CallManager, Cisco Unified MeetingPlace, Cisco Unity.
Gravité : 3/4.
Date création : 17/02/2010.
Références : 111512, 111742, BID-38271, BID-38272, BID-38273, CERTA-2010-AVI-086, cisco-sa-20100217-csa, CSCtb89870, CSCtd73275, CSCtd73290, CVE-2010-0146, CVE-2010-0147, CVE-2010-0148, VIGILANCE-VUL-9457.
Description de la vulnérabilité
Trois vulnérabilités ont été annoncées dans Cisco Security Agent, qui peut être installé avec de nombreux produits Cisco.
Lorsqu'un serveur utilise le Management Center de Cisco Security Agent version 6.0, un attaquant peut employer une requête traversant le répertoire racine, afin de lire un fichier situé sur le système. [grav:3/4; BID-38271, CERTA-2010-AVI-086, CSCtd73275, CVE-2010-0146]
Lorsqu'un serveur utilise le Management Center de Cisco Security Agent version 5.1, 5.2 ou 6.0, un attaquant peut employer une injection SQL, afin d'altérer les données. [grav:3/4; BID-38272, CSCtd73290, CVE-2010-0147]
Lorsqu'un serveur utilise Cisco Security Agent version 5.2, un attaquant peut créer un déni de service. [grav:2/4; BID-38273, CSCtb89870, CVE-2010-0148]
Bulletin Vigil@nce complet.... (
accès gratuit)
Partagez ce bulletin
Service de veille sur les vulnérabilités informatiques
Vigil@nce fournit une
base de vulnérabilité de système. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.
