L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Cisco Prime Collaboration Assurance

alerte de vulnérabilité informatique CVE-2019-1856

Cisco Prime Collaboration Assurance : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Cisco Prime Collaboration Assurance, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Prime Collaboration Assurance.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 02/05/2019.
Références : cisco-sa-20190501-pca-xss, CSCvk13522, CVE-2019-1856, VIGILANCE-VUL-29186.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Cisco Prime Collaboration Assurance, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-15450

Cisco Prime Collaboration Assurance : élévation de privilèges via Web-based UI File Overwrite

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Web-based UI File Overwrite de Cisco Prime Collaboration Assurance, afin d'élever ses privilèges.
Produits concernés : Prime Collaboration Assurance.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, création/modification de données.
Provenance : compte utilisateur.
Date création : 07/11/2018.
Références : CERTFR-2018-AVI-536, cisco-sa-20181107-pca-overwrite, CSCvj07247, CVE-2018-15450, VIGILANCE-VUL-27720.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Web-based UI File Overwrite de Cisco Prime Collaboration Assurance, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-15438

Cisco Prime Collaboration Assurance : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de Cisco Prime Collaboration Assurance, afin de forcer la victime à effectuer des opérations.
Produits concernés : Prime Collaboration Assurance.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 18/10/2018.
Références : CERTFR-2018-AVI-502, cisco-sa-20181017-cpca-csrf, CSCvj07251, CVE-2018-15438, VIGILANCE-VUL-27558.

Description de la vulnérabilité

Le produit Cisco Prime Collaboration Assurance dispose d'un service web.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de Cisco Prime Collaboration Assurance, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-0458

Cisco Prime Collaboration Assurance : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Cisco Prime Collaboration Assurance, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Prime Collaboration Assurance.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 06/09/2018.
Références : CERTFR-2018-AVI-423, cisco-sa-20180905-pca-xss, CSCvg15441, CVE-2018-0458, VIGILANCE-VUL-27159.

Description de la vulnérabilité

Le produit Cisco Prime Collaboration Assurance dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Cisco Prime Collaboration Assurance, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-5391

Noyau Linux : déni de service via FragmentSmack

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via FragmentSmack du noyau Linux, afin de mener un déni de service.
Produits concernés : GAiA, SecurePlatform, CheckPoint Security Gateway, Cisco Aironet, IOS XE Cisco, Nexus par Cisco, Prime Collaboration Assurance, Prime Infrastructure, Cisco Router, Secure ACS, Cisco CUCM, Cisco UCS, Cisco Unified CCX, Cisco IP Phone, Cisco Wireless Controller, Debian, BIG-IP Hardware, TMOS, Junos Space, Linux, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 2016, Windows 7, Windows 8, Windows RT, openSUSE Leap, Palo Alto Firewall PA***, PAN-OS, RHEL, RSA Authentication Manager, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, Synology DSM, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 16/08/2018.
Références : ADV180022, CERTFR-2018-AVI-390, CERTFR-2018-AVI-392, CERTFR-2018-AVI-419, CERTFR-2018-AVI-457, CERTFR-2018-AVI-478, CERTFR-2018-AVI-533, CERTFR-2019-AVI-233, CERTFR-2019-AVI-242, cisco-sa-20180824-linux-ip-fragment, CVE-2018-5391, DLA-1466-1, DLA-1529-1, DSA-2019-062, DSA-4272-1, FragmentSmack, JSA10917, K74374841, openSUSE-SU-2018:2404-1, openSUSE-SU-2018:2407-1, openSUSE-SU-2019:0274-1, PAN-SA-2018-0012, RHSA-2018:2785-01, RHSA-2018:2791-01, RHSA-2018:2846-01, RHSA-2018:2924-01, RHSA-2018:2925-01, RHSA-2018:2933-01, RHSA-2018:2948-01, RHSA-2018:3083-01, RHSA-2018:3096-01, RHSA-2018:3459-01, RHSA-2018:3540-01, RHSA-2018:3586-01, RHSA-2018:3590-01, sk134253, SUSE-SU-2018:2344-1, SUSE-SU-2018:2374-1, SUSE-SU-2018:2380-1, SUSE-SU-2018:2381-1, SUSE-SU-2018:2596-1, SUSE-SU-2019:0541-1, SUSE-SU-2019:1289-1, SYMSA1467, Synology-SA-18:44, USN-3740-1, USN-3740-2, USN-3741-1, USN-3741-2, USN-3741-3, USN-3742-1, USN-3742-2, USN-3742-3, VIGILANCE-VUL-27009, VU#641765.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via FragmentSmack du noyau Linux, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-6779

Cisco : déni de service via Log File Size

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Log File Size de Cisco, afin de mener un déni de service.
Produits concernés : Prime Collaboration Assurance, Cisco CUCM, Cisco Unified CCX, Cisco Unity ~ précis.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 07/06/2018.
Références : CERTFR-2018-AVI-270, cisco-sa-20180606-diskdos, CVE-2017-6779, VIGILANCE-VUL-26343.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Log File Size de Cisco, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2017-6659

Cisco Prime Collaboration Assurance : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de Cisco Prime Collaboration Assurance, afin de forcer la victime à effectuer des opérations.
Produits concernés : Prime Collaboration Assurance.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 08/06/2017.
Références : cisco-sa-20170607-pca, CVE-2017-6659, VIGILANCE-VUL-22924.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de Cisco Prime Collaboration Assurance, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-3733

OpenSSL : déni de service via l'option "Encrypt-Then-Mac"

Synthèse de la vulnérabilité

Un attaquant peut inverser l'état de l'option "Encrypt-Then-Mac" dans une renégociation TLS avec un client ou un serveur basé sur OpenSSL, afin de mener un déni de service.
Produits concernés : Cisco ASR, Cisco ATA, AsyncOS, Cisco Catalyst, Cisco Content SMA, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Router, Cisco CUCM, Cisco Manager Attendant Console, Cisco Wireless IP Phone, Cisco WSA, Cisco Wireless Controller, HP Operations, IRAD, Tivoli Storage Manager, OpenSSL, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Identity Management, Oracle iPlanet Web Server, Tuxedo, VirtualBox, WebLogic, Oracle Web Tier.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 16/02/2017.
Références : 2003480, 2003620, 2003673, 2004940, CERTFR-2017-AVI-035, cisco-sa-20170130-openssl, cpuapr2019, cpujan2018, cpuoct2017, CVE-2017-3733, HPESBGN03728, VIGILANCE-VUL-21871.

Description de la vulnérabilité

OpenSSL gère la possibilité de renégocier les options d'une connexion TLS en cours de session.

Cependant, pour certaines combinaisons d'algorithmes, lorsque l'option "Encrypt-Then-Mac" est activée ou désactivé en cours de session, une erreur fatale au processus se produit.

Un attaquant peut donc inverser l'état de l'option "Encrypt-Then-Mac" dans une renégociation TLS avec un client ou un serveur basé sur OpenSSL, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-3843

Cisco Prime Collaboration Assurance : lecture de fichier

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires de Cisco Prime Collaboration Assurance, afin de lire un fichier situé hors de la racine du service.
Produits concernés : Prime Collaboration Assurance.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 16/02/2017.
Références : CERTFR-2017-AVI-052, cisco-sa-20170215-pcp1, CVE-2017-3843, VIGILANCE-VUL-21861.

Description de la vulnérabilité

Le produit Cisco Prime Collaboration Assurance dispose d'un service web.

Cependant, les données provenant de l'utilisateur sont directement insérées dans un chemin d'accès. Les séquences comme "/.." permettent alors de remonter dans l'arborescence.

Un attaquant peut donc traverser les répertoires de Cisco Prime Collaboration Assurance, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-3844

Cisco Prime Collaboration Assurance : traversée de répertoire

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires de Cisco Prime Collaboration Assurance, afin de lire un fichier situé hors de la racine du service.
Produits concernés : Prime Collaboration Assurance.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 16/02/2017.
Références : CERTFR-2017-AVI-052, cisco-sa-20170215-pcp2, CVE-2017-3844, VIGILANCE-VUL-21859.

Description de la vulnérabilité

Le produit Cisco Prime Collaboration Assurance dispose d'un service web.

Cependant, les données provenant de l'utilisateur sont directement insérées dans un chemin d'accès. Les séquences comme "/.." permettent alors de remonter dans l'arborescence.

Un attaquant peut donc traverser les répertoires de Cisco Prime Collaboration Assurance, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.