pourrait permettre à un attaquant, authentifié sans privilèges d’administrateur pour une vulnérabilité dans Cisco Connected expériences mobiles (CMX) modifier le mot de passe d’un utilisateur sur un système affecté. La vulnérabilité est due à une mauvaise manipulation des contrôles d’autorisation pour changer un mot de passe. Un attaquant authentifié sans privilèges d’administrateur pourrait exploiter cette vulnérabilité en envoyant une requête HTTP modifiée à un périphérique affecté. Une exploitation réussie pourrait permettre à l’attaquant de modifier les mots de passe de tout utilisateur sur le système, y compris un administrateur, et usurper l’identité alors que l’utilisateur.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cmxpe-75Asy9k
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1144
