CERTFR-2022-AVI-371
Vulnerability from certfr_avis

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

  • Cisco Virtualized Infrastructure Manager (VIM) Software versions 4.x.x antérieures à 4.2.2
  • Cisco Umbrella Virtual Appliance Software Release versions 3.3.x antérieures à 3.3.2
  • Cisco TelePresence CE Software Release versions 9.x antérieures à 9.15.10.8
  • Cisco TelePresence CE Software Release versions 10.x antérieures à 10.11.2.2

Un correctif n'est pas prévu pour Cisco VIM versions antérieures à 3.6. L'éditeur préconise de mettre à jour à la version 4.2.2.
Un correctif n'est pas prévu pour Cisco Umbrella Virtual Appliance versions antérieures à 3.2. L'éditeur préconise de mettre à jour à la version 3.3.2.
Un correctif n'est pas prévu pour Cisco TelePresence CE versions antérieures à 9. L'éditeur préconise de mettre à jour vers une version corrigeant la vulnérabilité.

  • Cisco CX Cloud Agent Software versions antérieures à 2.1.0 (publication du correctif prévue pour le 20 avril 2022)
  • Cisco Automated Subsea Tuning versions antérieures à 2.1.0 (publication du correctif prévue pour le 31 mai 2022)
  • Cisco Crosswork Network Controller versions antérieures à 3.0.2 ou 2.0.2 (publication des correctifs prévue pour le 29 avril 2022)
  • Cisco Crosswork Optimization Engine versions antérieures à 3.1.1 ou 2.1.1 (publication des correctifs prévue pour le 1er mai 2022)
  • Cisco Crosswork Zero Touch Provisioning (ZTP) versions antérieures à 3.0.2 (publication du correctif prévue pour le 29 avril 2022)
  • Cisco Crosswork Zero Touch Provisioning (ZTP) versions antérieures à 2.0.2 (publication du correctif prévue pour le 20 avril 2022)
  • Cisco Evolved Programmable Network Manager versions antérieures à 6.0.1.1, 5.1.4.1 ou 5.0.2.3 (publication des correctifs prévue pour le 29 avril 2022)
  • Cisco Managed Services Accelerator (MSX) versions antérieures à 4.2.3 (publication du correctif prévue pour le 27 avril 2022)
  • Cisco Optical Network Planner versions antérieures à 5.0 (publication du correctif prévue pour le 30 août 2022)
  • Cisco WAN Automation Engine (WAE) Live versions antérieures à 7.5.2.1 (publication du correctif prévue pour le 19 avril 2022)
  • Cisco WAN Automation Engine (WAE) Live versions antérieures à 7.4.0.2 (publication du correctif prévue pour le 25 avril 2022)
  • Cisco WAN Automation Engine (WAE) Live versions antérieures à 7.3.0.3 (publication du correctif prévue pour le 29 avril 2022)
  • Cisco WAN Automation Engine (WAE) versions antérieures à 7.5.2.1 (publication du correctif prévue pour le 19 avril 2022)
  • Cisco WAN Automation Engine (WAE) versions antérieures à 7.4.0.2 (publication du correctif prévue pour le 25 avril 2022)
  • Cisco WAN Automation Engine (WAE) versions antérieures à 7.3.0.3 (publication du correctif prévue pour le 29 avril 2022)
  • Data Center Network Manager (DCNM) versions antérieures à 12.1.1 (publication du correctif prévue pour le 30 juin 2022)
  • Nexus Dashboard Fabric Controller (NDFC) versions antérieures à 12.1.1 (publication du correctif prévue pour le 30 juin 2022)
  • Cisco Optical Network Controller versions antérieures à 2.0 (publication du correctif prévue pour le 31 mai 2022)
  • Cisco Enterprise Chat and Email versions antérieures à 12.0 ou 12.5 (publication des correctifs prévue pour le 30 mai 2022)
  • Cisco Enterprise Chat and Email versions antérieures à 12.6 ES2 (publication des correctifs prévue pour le 15 mai 2022)
  • Cisco Meeting Server versions antérieures à 3.5.0 (publication des correctifs prévue pour le 30 avril 2022)
  • Cisco Meeting Server versions antérieures à 3.4.2 (publication des correctifs prévue pour le 31 mai 2022)
  • Cisco Meeting Server versions antérieures à 3.3.3 (publication des correctifs prévue pour le 17 juin 2022)
  • Cisco DNA Center toutes versions (pas d'annonce sur la disponibilité du correctif)
  • Cisco Software-Defined AVC (SD-AVC) toutes versions (pas d'annonce sur la disponibilité du correctif)
Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cul\u003e \u003cli\u003eCisco Virtualized Infrastructure Manager (VIM) Software versions 4.x.x ant\u00e9rieures \u00e0 4.2.2\u003c/li\u003e \u003cli\u003eCisco Umbrella Virtual Appliance Software Release versions 3.3.x ant\u00e9rieures \u00e0 3.3.2\u003c/li\u003e \u003cli\u003eCisco TelePresence CE Software Release versions 9.x ant\u00e9rieures \u00e0 9.15.10.8\u003c/li\u003e \u003cli\u003eCisco TelePresence CE Software Release versions 10.x ant\u00e9rieures \u00e0 10.11.2.2\u003c/li\u003e \u003c/ul\u003e \u003cp\u003eUn correctif n\u0027est pas pr\u00e9vu pour Cisco VIM versions ant\u00e9rieures \u00e0 3.6. L\u0027\u00e9diteur pr\u00e9conise de mettre \u00e0 jour \u00e0 la version 4.2.2.\u003cbr /\u003e Un correctif n\u0027est pas pr\u00e9vu pour Cisco Umbrella Virtual Appliance versions ant\u00e9rieures \u00e0 3.2. L\u0027\u00e9diteur pr\u00e9conise de mettre \u00e0 jour \u00e0 la version 3.3.2.\u003cbr /\u003e Un correctif n\u0027est pas pr\u00e9vu pour Cisco TelePresence CE versions ant\u00e9rieures \u00e0 9. L\u0027\u00e9diteur pr\u00e9conise de mettre \u00e0 jour vers une version corrigeant la vuln\u00e9rabilit\u00e9.\u003c/p\u003e \u003cul\u003e \u003cli\u003eCisco CX Cloud Agent Software versions ant\u00e9rieures \u00e0 2.1.0 (publication du correctif pr\u00e9vue pour le 20 avril 2022)\u003c/li\u003e \u003cli\u003eCisco Automated Subsea Tuning versions ant\u00e9rieures \u00e0 2.1.0 (publication du correctif pr\u00e9vue pour le 31 mai 2022)\u003c/li\u003e \u003cli\u003eCisco Crosswork Network Controller versions ant\u00e9rieures \u00e0 3.0.2 ou 2.0.2 (publication des correctifs pr\u00e9vue pour le 29 avril 2022)\u003c/li\u003e \u003cli\u003eCisco Crosswork Optimization Engine versions ant\u00e9rieures \u00e0 3.1.1 ou 2.1.1 (publication des correctifs pr\u00e9vue pour le 1er mai 2022)\u003c/li\u003e \u003cli\u003eCisco Crosswork Zero Touch Provisioning (ZTP) versions ant\u00e9rieures \u00e0 3.0.2 (publication du correctif pr\u00e9vue pour le 29 avril 2022)\u003c/li\u003e \u003cli\u003eCisco Crosswork Zero Touch Provisioning (ZTP) versions ant\u00e9rieures \u00e0 2.0.2 (publication du correctif pr\u00e9vue pour le 20 avril 2022)\u003c/li\u003e \u003cli\u003eCisco Evolved Programmable Network Manager versions ant\u00e9rieures \u00e0 6.0.1.1, 5.1.4.1 ou 5.0.2.3 (publication des correctifs pr\u00e9vue pour le 29 avril 2022)\u003c/li\u003e \u003cli\u003eCisco Managed Services Accelerator (MSX) versions ant\u00e9rieures \u00e0 4.2.3 (publication du correctif pr\u00e9vue pour le 27 avril 2022)\u003c/li\u003e \u003cli\u003eCisco Optical Network Planner versions ant\u00e9rieures \u00e0 5.0 (publication du correctif pr\u00e9vue pour le 30 ao\u00fbt 2022)\u003c/li\u003e \u003cli\u003eCisco WAN Automation Engine (WAE) Live versions ant\u00e9rieures \u00e0 7.5.2.1 (publication du correctif pr\u00e9vue pour le 19 avril 2022)\u003c/li\u003e \u003cli\u003eCisco WAN Automation Engine (WAE) Live versions ant\u00e9rieures \u00e0 7.4.0.2 (publication du correctif pr\u00e9vue pour le 25 avril 2022)\u003c/li\u003e \u003cli\u003eCisco WAN Automation Engine (WAE) Live versions ant\u00e9rieures \u00e0 7.3.0.3 (publication du correctif pr\u00e9vue pour le 29 avril 2022)\u003c/li\u003e \u003cli\u003eCisco WAN Automation Engine (WAE) versions ant\u00e9rieures \u00e0 7.5.2.1 (publication du correctif pr\u00e9vue pour le 19 avril 2022)\u003c/li\u003e \u003cli\u003eCisco WAN Automation Engine (WAE) versions ant\u00e9rieures \u00e0 7.4.0.2 (publication du correctif pr\u00e9vue pour le 25 avril 2022)\u003c/li\u003e \u003cli\u003eCisco WAN Automation Engine (WAE) versions ant\u00e9rieures \u00e0 7.3.0.3 (publication du correctif pr\u00e9vue pour le 29 avril 2022)\u003c/li\u003e \u003cli\u003eData Center Network Manager (DCNM) versions ant\u00e9rieures \u00e0 12.1.1 (publication du correctif pr\u00e9vue pour le 30 juin 2022)\u003c/li\u003e \u003cli\u003eNexus Dashboard Fabric Controller (NDFC) versions ant\u00e9rieures \u00e0 12.1.1 (publication du correctif pr\u00e9vue pour le 30 juin 2022)\u003c/li\u003e \u003cli\u003eCisco Optical Network Controller versions ant\u00e9rieures \u00e0 2.0 (publication du correctif pr\u00e9vue pour le 31 mai 2022)\u003c/li\u003e \u003cli\u003eCisco Enterprise Chat and Email versions ant\u00e9rieures \u00e0 12.0 ou 12.5 (publication des correctifs pr\u00e9vue pour le 30 mai 2022)\u003c/li\u003e \u003cli\u003eCisco Enterprise Chat and Email versions ant\u00e9rieures \u00e0 12.6 ES2 (publication des correctifs pr\u00e9vue pour le 15 mai 2022)\u003c/li\u003e \u003cli\u003eCisco Meeting Server versions ant\u00e9rieures \u00e0 3.5.0 (publication des correctifs pr\u00e9vue pour le 30 avril 2022)\u003c/li\u003e \u003cli\u003eCisco Meeting Server versions ant\u00e9rieures \u00e0 3.4.2 (publication des correctifs pr\u00e9vue pour le 31 mai 2022)\u003c/li\u003e \u003cli\u003eCisco Meeting Server versions ant\u00e9rieures \u00e0 3.3.3 (publication des correctifs pr\u00e9vue pour le 17 juin 2022)\u003c/li\u003e \u003cli\u003eCisco DNA Center toutes versions (pas d\u0027annonce sur la disponibilit\u00e9 du correctif)\u003c/li\u003e \u003cli\u003eCisco Software-Defined AVC (SD-AVC) toutes versions (pas d\u0027annonce sur la disponibilit\u00e9 du correctif)\u003c/li\u003e \u003c/ul\u003e ",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2022-22965",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-22965"
    },
    {
      "name": "CVE-2022-20773",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-20773"
    },
    {
      "name": "CVE-2022-20732",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-20732"
    },
    {
      "name": "CVE-2022-20783",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-20783"
    }
  ],
  "initial_release_date": "2022-04-21T00:00:00",
  "last_revision_date": "2022-04-21T00:00:00",
  "links": [],
  "reference": "CERTFR-2022-AVI-371",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2022-04-21T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les produits Cisco.\nCertaines d\u0027entre elles permettent \u00e0 un attaquant de provoquer une\nex\u00e9cution de code arbitraire \u00e0 distance, un contournement de la\npolitique de s\u00e9curit\u00e9 et une atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits Cisco",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Cisco sa-ce-roomos-dos-c65x2Qf2 du 20 avril 2022",
      "url": "https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ce-roomos-dos-c65x2Qf2"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Cisco sa-java-spring-rce-Zx9GUc67 du 01 avril 2022",
      "url": "https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-java-spring-rce-Zx9GUc67"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Cisco sa-uva-static-key-6RQTRs4c du 20 avril 2022",
      "url": "https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uva-static-key-6RQTRs4c"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Cisco sa-vim-privesc-T2tsFUf du 20 avril 2022",
      "url": "https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vim-privesc-T2tsFUf"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.