L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Cisco Secure Access Control System

alerte de vulnérabilité informatique CVE-2014-0678

Cisco Secure ACS : élévation de privilèges via Portal

Synthèse de la vulnérabilité

Un attaquant authentifié peut accéder à la session d'un autre utilisateur du portail de Cisco Secure ACS, afin d'élever ses privilèges.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : compte utilisateur.
Date création : 27/01/2014.
Références : BID-65144, CSCue65951, CVE-2014-0678, VIGILANCE-VUL-14136.

Description de la vulnérabilité

Un attaquant authentifié peut accéder à la session d'un autre utilisateur du portail de Cisco Secure ACS, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2014-0668

Cisco Secure ACS : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 20/01/2014.
Références : BID-65016, CSCue65949, CVE-2014-0668, VIGILANCE-VUL-14109.

Description de la vulnérabilité

Le produit Cisco Secure ACS dispose d'un service web.

Cependant, il ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-0667

Cisco Secure ACS : obtention d'information via RMI

Synthèse de la vulnérabilité

Un attaquant authentifié peut employer l'interface RMI de Cisco Secure ACS, pour lire des fichiers arbitraires, afin d'obtenir des informations sensibles.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Date création : 16/01/2014.
Références : BID-64983, CSCud75169, CVE-2014-0667, VIGILANCE-VUL-14103.

Description de la vulnérabilité

Un attaquant authentifié peut employer l'interface RMI de Cisco Secure ACS, pour lire des fichiers arbitraires, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2014-0648 CVE-2014-0649 CVE-2014-0650

Cisco Secure Access Control System : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Cisco Secure Access Control System.
Produits concernés : Secure ACS.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 15/01/2014.
Références : BID-64958, BID-64962, BID-64964, CERTA-2014-AVI-035, cisco-sa-20140115-csacs, CSCud75180, CSCud75187, CSCue65962, CVE-2014-0648, CVE-2014-0649, CVE-2014-0650, VIGILANCE-VUL-14096.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Cisco Secure Access Control System.

Un attaquant authentifié peut utiliser l'interface RMI, afin d'élever ses privilèges. [grav:3/4; BID-64958, CSCud75180, CVE-2014-0649]

Un attaquant non authentifié peut utiliser l'interface RMI, afin d'exécuter du code. [grav:3/4; BID-64962, CSCud75187, CVE-2014-0648]

Un attaquant peut injecter des commandes dans l'interface web, afin d'exécuter du code. [grav:3/4; BID-64964, CSCue65962, CVE-2014-0650]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-0663

Cisco Secure ACS : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 10/01/2014.
Références : BID-64773, CSCum03625, CVE-2014-0663, VIGILANCE-VUL-14053.

Description de la vulnérabilité

Le produit Cisco Secure ACS dispose d'un service web.

Cependant, il ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2013-6974

Cisco Secure ACS : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 10/01/2014.
Références : BID-64752, CSCud89431, CVE-2013-6974, VIGILANCE-VUL-14049.

Description de la vulnérabilité

Le produit Cisco Secure ACS dispose d'un service web.

Cependant, il ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2013-6695

Cisco Secure ACS : obtention d'information via Support Bundle

Synthèse de la vulnérabilité

Un attaquant authentifié peut télécharger le Support Bundle de Cisco Secure ACS, afin d'obtenir des informations sensibles.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Date création : 02/12/2013.
Références : BID-64049, CSCuj39274, CVE-2013-6695, VIGILANCE-VUL-13857.

Description de la vulnérabilité

Un attaquant authentifié peut télécharger le Support Bundle de Cisco Secure ACS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2013-5536

Cisco Secure ACS : déni de service via Distributed Deployment

Synthèse de la vulnérabilité

Un attaquant peut envoyer de nombreux paquets vers Cisco Secure ACS Distributed Deployment, qui ne sont pas filtrés par le firewall, et stoppent des processus, afin de mener un déni de service.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client intranet.
Date création : 23/10/2013.
Références : BID-63281, CSCui51521, CVE-2013-5536, VIGILANCE-VUL-13637.

Description de la vulnérabilité

Un attaquant peut envoyer de nombreux paquets vers Cisco Secure ACS Distributed Deployment, qui ne sont pas filtrés par le firewall, et stoppent des processus, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2013-5470

Cisco Secure ACS : déni de service via TACACS+

Synthèse de la vulnérabilité

Un attaquant peut envoyer des paquets TCP malformés vers Cisco Secure ACS configuré pour utiliser TACACS+, afin de mener un déni de service.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client intranet.
Date création : 04/09/2013.
Références : BID-62145, CSCuh12488, CVE-2013-5470, VIGILANCE-VUL-13345.

Description de la vulnérabilité

Un attaquant peut envoyer des paquets TCP malformés vers Cisco Secure ACS configuré pour utiliser TACACS+, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2013-3466

Cisco Secure ACS : exécution de commande via EAP-FAST

Synthèse de la vulnérabilité

Lorsque Cisco Secure ACS est configuré comme serveur RADIUS, un attaquant peut envoyer un paquet EAP-FAST avec un nom d'utilisateur spécial, afin d'exécuter des commandes privilégiées.
Produits concernés : Secure ACS.
Gravité : 4/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : client internet.
Date création : 29/08/2013.
Références : BID-62028, CERTA-2013-AVI-497, cisco-sa-20130828-acs, CSCui57636, CVE-2013-3466, VIGILANCE-VUL-13324.

Description de la vulnérabilité

Le produit Cisco Secure Access Control Server for Windows peut être configuré en tant que serveur RADIUS et TACACS+.

Le service RADIUS supporte l'authentification EAP-FAST. Cependant, Cisco Secure ACS ne filtre pas correctement les noms d'utilisateurs, qui sont injectés en tant que commandes.

Lorsque Cisco Secure ACS est configuré comme serveur RADIUS, un attaquant peut donc envoyer un paquet EAP-FAST avec un nom d'utilisateur spécial, afin d'exécuter des commandes privilégiées.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Cisco Secure Access Control System :