CERTA-2006-AVI-201
Vulnerability from certfr_avis
Une vulnérabilité présente sur Cisco AVS (Application Velocity System's) peut être exploitée par un utilisateur mal intentionné pour contourner la politique de sécurité via une requête HTTP malicieusement construite.
Description
Une vulnérabilité est présente dans la configuration par défaut de Cisco
AVS. Un utilisateur mal intentionné peut exploiter, via une requête HTTP
malveillante, le système vulnérable et l'utiliser comme serveur
mandataire (proxy) transparent pour accéder à des ports de destination
arbitraires.
Un changement dans la configuration par défaut permet de ne plus être
vulnérable.
La version 5.0.1 n'est pas impactée par cette vulnérabilité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "AVS 3120 version 5.0.0.",
"product": {
"name": "N/A",
"vendor": {
"name": "Cisco",
"scada": false
}
}
},
{
"description": "AVS 3110 versions 4.0 et 5.0 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Cisco",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans la configuration par d\u00e9faut de Cisco\nAVS. Un utilisateur mal intentionn\u00e9 peut exploiter, via une requ\u00eate HTTP\nmalveillante, le syst\u00e8me vuln\u00e9rable et l\u0027utiliser comme serveur\nmandataire (proxy) transparent pour acc\u00e9der \u00e0 des ports de destination\narbitraires. \nUn changement dans la configuration par d\u00e9faut permet de ne plus \u00eatre\nvuln\u00e9rable. \n \nLa version 5.0.1 n\u0027est pas impact\u00e9e par cette vuln\u00e9rabilit\u00e9.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2006-05-16T00:00:00",
"last_revision_date": "2006-05-16T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Cisco ID 20060510-avs du 10 mai 2006 :",
"url": "http://www.cisco.com/warp/public/707/cisco-sa-20060510-avs.shtml"
}
],
"reference": "CERTA-2006-AVI-201",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2006-05-16T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente sur Cisco AVS (Application Velocity System\u0027s)\npeut \u00eatre exploit\u00e9e par un utilisateur mal intentionn\u00e9 pour contourner\nla politique de s\u00e9curit\u00e9 via une requ\u00eate HTTP malicieusement construite.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Cisco AVS",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 CISCO 20060510-avs",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…
Loading…