Vulnerabilidad en Cisco (CVE-2024-20319)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

13/03/2024

Última modificación:

07/07/2025

Descripción

Una vulnerabilidad en el código de reenvío UDP del software Cisco IOS XR podría permitir que un atacante adyacente no autenticado omita las políticas de protección del plano de administración configuradas y acceda al servidor del Plano simple de administración de red (SNMP) de un dispositivo afectado. Esta vulnerabilidad se debe a una programación incorrecta de reenvío UDP cuando se utiliza SNMP con protección del plano de administración. Un atacante podría aprovechar esta vulnerabilidad al intentar realizar una operación SNMP utilizando la transmisión como dirección de destino que podría ser procesada por un dispositivo afectado que esté configurado con un servidor SNMP. Un exploit exitoso podría permitir al atacante comunicarse con el dispositivo en los puertos SNMP configurados. Aunque un atacante no autenticado podría enviar datagramas UDP al puerto SNMP configurado, sólo un usuario autenticado puede recuperar o modificar datos mediante solicitudes SNMP.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.30

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:cisco:ios_xr:5.2.0:::::::*
cpe:2.3:o:cisco:ios_xr:5.2.1:::::::*
cpe:2.3:o:cisco:ios_xr:5.2.2:::::::*
cpe:2.3:o:cisco:ios_xr:5.2.3:::::::*
cpe:2.3:o:cisco:ios_xr:5.2.4:::::::*
cpe:2.3:o:cisco:ios_xr:5.2.5:::::::*
cpe:2.3:o:cisco:ios_xr:5.2.47:::::::*
cpe:2.3:o:cisco:ios_xr:5.3.0:::::::*
cpe:2.3:o:cisco:ios_xr:5.3.1:::::::*
cpe:2.3:o:cisco:ios_xr:5.3.2:::::::*
cpe:2.3:o:cisco:ios_xr:5.3.3:::::::*
cpe:2.3:o:cisco:ios_xr:5.3.4:::::::*
cpe:2.3:o:cisco:ios_xr:6.0.0:::::::*
cpe:2.3:o:cisco:ios_xr:6.0.1:::::::*
cpe:2.3:o:cisco:ios_xr:6.0.2:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:o:cisco:ios_xr:5.2.0:::::::*
cpe:2.3:o:cisco:ios_xr:5.2.1:::::::*
cpe:2.3:o:cisco:ios_xr:5.2.2:::::::*
cpe:2.3:o:cisco:ios_xr:5.2.3:::::::*
cpe:2.3:o:cisco:ios_xr:5.2.4:::::::*
cpe:2.3:o:cisco:ios_xr:5.2.5:::::::*
cpe:2.3:o:cisco:ios_xr:5.2.47:::::::*
cpe:2.3:o:cisco:ios_xr:5.3.0:::::::*
cpe:2.3:o:cisco:ios_xr:5.3.1:::::::*
cpe:2.3:o:cisco:ios_xr:5.3.2:::::::*
cpe:2.3:o:cisco:ios_xr:5.3.3:::::::*
cpe:2.3:o:cisco:ios_xr:5.3.4:::::::*
cpe:2.3:o:cisco:ios_xr:6.0.0:::::::*
cpe:2.3:o:cisco:ios_xr:6.0.1:::::::*
cpe:2.3:o:cisco:ios_xr:6.0.2:::::::*

Vulnerabilidad en Cisco (CVE-2024-20319)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información