L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Cisco Secure Access Control System

bulletin de vulnérabilité CVE-2013-3428

Cisco Secure ACS : obtention d'information via System Error

Synthèse de la vulnérabilité

Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : accès physique.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/07/2013.
Références : BID-61174, CSCue65957, CVE-2013-3428, VIGILANCE-VUL-13123.

Description de la vulnérabilité

Un attaquant peut lire les messages d'erreur de Cisco Secure ACS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2013-3424

Cisco Secure ACS : Cross Site Scripting de Admin/View

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans les pages Admin/View de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/07/2013.
Références : BID-61175, CSCud75177, CVE-2013-3424, VIGILANCE-VUL-13122.

Description de la vulnérabilité

Le produit Cisco Secure Access Control System fournit des pages web Admin/View.

Cependant, elles ne filtrent pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting dans les pages Admin/View de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2013-3423

Cisco Secure ACS : Cross Site Scripting de Web Interface

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans l'interface web de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/07/2013.
Références : BID-61173, CSCud75174, CVE-2013-3423, VIGILANCE-VUL-13121.

Description de la vulnérabilité

Le produit Cisco Secure Access Control System fournit des pages web.

Cependant, elles ne filtrent pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting dans l'interface web de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2013-3422

Cisco Secure ACS : Cross Site Scripting de System Administration

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans la page System Administration de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/07/2013.
Références : BID-61172, CSCud75165, CVE-2013-3422, VIGILANCE-VUL-13120.

Description de la vulnérabilité

Le produit Cisco Secure Access Control System fournit une page System Administration.

Cependant, elle ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting dans la page System Administration de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2013-3421

Cisco Secure ACS : Cross Site Scripting de Help Index

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans le Help Index de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/07/2013.
Références : BID-61171, CSCud75170, CVE-2013-3421, VIGILANCE-VUL-13119.

Description de la vulnérabilité

Le produit Cisco Secure Access Control System fournit un index d'aide.

Cependant, il ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting dans le Help Index de Cisco Secure ACS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2013-3380

Cisco Access Control Server : élévation de privilèges via Report View

Synthèse de la vulnérabilité

Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits privilégié.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/06/2013.
Références : BID-60514, CSCue79279, CVE-2013-3380, VIGILANCE-VUL-12935.

Description de la vulnérabilité

Un attaquant peut accéder à Report View de Cisco Access Control Server, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2013-1200

Cisco Secure ACS : rejeu de session

Synthèse de la vulnérabilité

Un attaquant peut capturer l'identifiant de session de Cisco Secure ACS, afin de le réemployer pour accéder à l'espace de l'utilisateur.
Produits concernés : Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/05/2013.
Références : BID-59943, CSCud95787, CVE-2013-1200, VIGILANCE-VUL-12837.

Description de la vulnérabilité

Le produit Cisco Secure Access Control System fournit une interface nécessitant une authentification.

Lorsque l'utilisateur est authentifié il obtient un identifiant de session. Cependant, cet identifiant peut être réutilisé par un attaquant.

Un attaquant peut donc capturer l'identifiant de session de Cisco Secure ACS, afin de le réemployer pour accéder à l'espace de l'utilisateur.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2013-1196

Cisco Prime, Secure ACS : élévation de privilèges

Synthèse de la vulnérabilité

Produits concernés : Prime Collaboration Assurance, Prime Collaboration Manager, Cisco Prime LMS, Prime Network Control Systems, Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 02/05/2013.
Références : CSCug13866, CSCug29384, CSCug29400, CSCug29406, CSCug29411, CSCug29413, CSCug29416, CSCug29418, CSCug29422, CSCug29425, CSCug29426, CVE-2013-1196, VIGILANCE-VUL-12745.

Description de la vulnérabilité

Un attaquant local peut formater des commandes spéciales dans Cisco Prime et Secure ACS, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2013-1125

Cisco Secure ACS, Prime : élévation de privilèges

Synthèse de la vulnérabilité

Produits concernés : Cisco Prime LMS, Prime Network Control Systems, Secure ACS.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/02/2013.
Références : BID-58063, CSCud95790, CSCue46001, CSCue46013, CSCue46021, CSCue46023, CSCue46025, CSCue46031, CSCue46035, CSCue46042, CSCue46058, CVE-2013-1125, VIGILANCE-VUL-12433.

Description de la vulnérabilité

Un attaquant authentifié peut employer une vulnérabilité de CLI (command-line interface), afin d'exécuter une commande shell avec les privilèges de l'utilisateur root.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2012-5424

Cisco Secure Access Control System : contournement de l'authentification TACACS+

Synthèse de la vulnérabilité

Lorsque Cisco Secure Access Control System est configuré avec une authentification TACACS+ basée sur des données stockées dans un annuaire LDAP, un attaquant peut contourner l'authentification afin de se connecter sous l'identité d'un utilisateur valide.
Produits concernés : Secure ACS.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/11/2012.
Références : BID-56433, CERTA-2012-AVI-634, cisco-sa-20121107-acs, CSCuc65634, CVE-2012-5424, VIGILANCE-VUL-12119.

Description de la vulnérabilité

Le produit Cisco Secure Access Control System supporte les authentifications RADIUS et TACACS+. Les données des utilisateurs peuvent être stockées sur un serveur externe comme un annuaire LDAP, un Active Directory, etc.

Dans la configuration TACACS+ avec LDAP, les mots de passe ne sont pas correctement filtrés. Un attaquant, connaissant un nom d'utilisateur valide, peut alors entrer un mot de passe spécial, afin de s'authentifier.

Lorsque Cisco Secure Access Control System est configuré avec une authentification TACACS+ basée sur des données stockées dans un annuaire LDAP, un attaquant peut donc contourner l'authentification afin de se connecter sous l'identité d'un utilisateur valide.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Cisco Secure Access Control System :