CERTA-2006-AVI-201
Vulnerability from certfr_avis - Published: 2006-05-16 - Updated: 2006-05-16
Une vulnérabilité présente sur Cisco AVS (Application Velocity System's) peut être exploitée par un utilisateur mal intentionné pour contourner la politique de sécurité via une requête HTTP malicieusement construite.
Description
Une vulnérabilité est présente dans la configuration par défaut de Cisco
AVS. Un utilisateur mal intentionné peut exploiter, via une requête HTTP
malveillante, le système vulnérable et l'utiliser comme serveur
mandataire (proxy) transparent pour accéder à des ports de destination
arbitraires.
Un changement dans la configuration par défaut permet de ne plus être
vulnérable.
La version 5.0.1 n'est pas impactée par cette vulnérabilité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "AVS 3120 version 5.0.0.",
"product": {
"name": "N/A",
"vendor": {
"name": "Cisco",
"scada": false
}
}
},
{
"description": "AVS 3110 versions 4.0 et 5.0 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Cisco",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans la configuration par d\u00e9faut de Cisco\nAVS. Un utilisateur mal intentionn\u00e9 peut exploiter, via une requ\u00eate HTTP\nmalveillante, le syst\u00e8me vuln\u00e9rable et l\u0027utiliser comme serveur\nmandataire (proxy) transparent pour acc\u00e9der \u00e0 des ports de destination\narbitraires. \nUn changement dans la configuration par d\u00e9faut permet de ne plus \u00eatre\nvuln\u00e9rable. \n \nLa version 5.0.1 n\u0027est pas impact\u00e9e par cette vuln\u00e9rabilit\u00e9.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2006-05-16T00:00:00",
"last_revision_date": "2006-05-16T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Cisco ID 20060510-avs du 10 mai 2006 :",
"url": "http://www.cisco.com/warp/public/707/cisco-sa-20060510-avs.shtml"
}
],
"reference": "CERTA-2006-AVI-201",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2006-05-16T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente sur Cisco AVS (Application Velocity System\u0027s)\npeut \u00eatre exploit\u00e9e par un utilisateur mal intentionn\u00e9 pour contourner\nla politique de s\u00e9curit\u00e9 via une requ\u00eate HTTP malicieusement construite.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Cisco AVS",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 CISCO 20060510-avs",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…