L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Cisco Secure Access Control System

annonce de vulnérabilité informatique CVE-2013-5536

Cisco Secure ACS : déni de service via Distributed Deployment

Synthèse de la vulnérabilité

Un attaquant peut envoyer de nombreux paquets vers Cisco Secure ACS Distributed Deployment, qui ne sont pas filtrés par le firewall, et stoppent des processus, afin de mener un déni de service.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client intranet.
Date création : 23/10/2013.
Références : BID-63281, CSCui51521, CVE-2013-5536, VIGILANCE-VUL-13637.

Description de la vulnérabilité

Un attaquant peut envoyer de nombreux paquets vers Cisco Secure ACS Distributed Deployment, qui ne sont pas filtrés par le firewall, et stoppent des processus, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2013-5470

Cisco Secure ACS : déni de service via TACACS+

Synthèse de la vulnérabilité

Un attaquant peut envoyer des paquets TCP malformés vers Cisco Secure ACS configuré pour utiliser TACACS+, afin de mener un déni de service.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client intranet.
Date création : 04/09/2013.
Références : BID-62145, CSCuh12488, CVE-2013-5470, VIGILANCE-VUL-13345.

Description de la vulnérabilité

Un attaquant peut envoyer des paquets TCP malformés vers Cisco Secure ACS configuré pour utiliser TACACS+, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2013-3466

Cisco Secure ACS : exécution de commande via EAP-FAST

Synthèse de la vulnérabilité

Lorsque Cisco Secure ACS est configuré comme serveur RADIUS, un attaquant peut envoyer un paquet EAP-FAST avec un nom d'utilisateur spécial, afin d'exécuter des commandes privilégiées.
Produits concernés : Secure ACS.
Gravité : 4/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : client internet.
Date création : 29/08/2013.
Références : BID-62028, CERTA-2013-AVI-497, cisco-sa-20130828-acs, CSCui57636, CVE-2013-3466, VIGILANCE-VUL-13324.

Description de la vulnérabilité

Le produit Cisco Secure Access Control Server for Windows peut être configuré en tant que serveur RADIUS et TACACS+.

Le service RADIUS supporte l'authentification EAP-FAST. Cependant, Cisco Secure ACS ne filtre pas correctement les noms d'utilisateurs, qui sont injectés en tant que commandes.

Lorsque Cisco Secure ACS est configuré comme serveur RADIUS, un attaquant peut donc envoyer un paquet EAP-FAST avec un nom d'utilisateur spécial, afin d'exécuter des commandes privilégiées.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2013-3428

Cisco Secure ACS : obtention d'information via System Error

Synthèse de la vulnérabilité

Un attaquant peut lire les messages d'erreur de Cisco Secure ACS, afin d'obtenir des informations sensibles.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : accès physique.
Date création : 15/07/2013.
Références : BID-61174, CSCue65957, CVE-2013-3428, VIGILANCE-VUL-13123.

Description de la vulnérabilité

Un attaquant peut lire les messages d'erreur de Cisco Secure ACS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2013-3424

Cisco Secure ACS : Cross Site Scripting de Admin/View

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans les pages Admin/View de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 15/07/2013.
Références : BID-61175, CSCud75177, CVE-2013-3424, VIGILANCE-VUL-13122.

Description de la vulnérabilité

Le produit Cisco Secure Access Control System fournit des pages web Admin/View.

Cependant, elles ne filtrent pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting dans les pages Admin/View de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2013-3423

Cisco Secure ACS : Cross Site Scripting de Web Interface

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans l'interface web de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 15/07/2013.
Références : BID-61173, CSCud75174, CVE-2013-3423, VIGILANCE-VUL-13121.

Description de la vulnérabilité

Le produit Cisco Secure Access Control System fournit des pages web.

Cependant, elles ne filtrent pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting dans l'interface web de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2013-3422

Cisco Secure ACS : Cross Site Scripting de System Administration

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans la page System Administration de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 15/07/2013.
Références : BID-61172, CSCud75165, CVE-2013-3422, VIGILANCE-VUL-13120.

Description de la vulnérabilité

Le produit Cisco Secure Access Control System fournit une page System Administration.

Cependant, elle ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting dans la page System Administration de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2013-3421

Cisco Secure ACS : Cross Site Scripting de Help Index

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans le Help Index de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 15/07/2013.
Références : BID-61171, CSCud75170, CVE-2013-3421, VIGILANCE-VUL-13119.

Description de la vulnérabilité

Le produit Cisco Secure Access Control System fournit un index d'aide.

Cependant, il ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting dans le Help Index de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2013-3380

Cisco Access Control Server : élévation de privilèges via Report View

Synthèse de la vulnérabilité

Un attaquant peut accéder à Report View de Cisco Access Control Server, afin d'élever ses privilèges.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits privilégié.
Provenance : client intranet.
Date création : 11/06/2013.
Références : BID-60514, CSCue79279, CVE-2013-3380, VIGILANCE-VUL-12935.

Description de la vulnérabilité

Un attaquant peut accéder à Report View de Cisco Access Control Server, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2013-1200

Cisco Secure ACS : rejeu de session

Synthèse de la vulnérabilité

Un attaquant peut capturer l'identifiant de session de Cisco Secure ACS, afin de le réemployer pour accéder à l'espace de l'utilisateur.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client intranet.
Date création : 16/05/2013.
Références : BID-59943, CSCud95787, CVE-2013-1200, VIGILANCE-VUL-12837.

Description de la vulnérabilité

Le produit Cisco Secure Access Control System fournit une interface nécessitant une authentification.

Lorsque l'utilisateur est authentifié il obtient un identifiant de session. Cependant, cet identifiant peut être réutilisé par un attaquant.

Un attaquant peut donc capturer l'identifiant de session de Cisco Secure ACS, afin de le réemployer pour accéder à l'espace de l'utilisateur.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Cisco Secure Access Control System :