Vulnerabilidad en Cisco Emergency Responder (CVE-2024-20352)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-23
Limitación incorrecta de nombre de ruta relativa a un directorio restringido (Relative Path Traversal)
Fecha de publicación:
03/04/2024
Última modificación:
07/05/2025
Descripción
Una vulnerabilidad en Cisco Emergency Responder podría permitir que un atacante remoto autenticado lleve a cabo un ataque directory traversal, lo que podría permitirle realizar acciones arbitrarias en un dispositivo afectado. Esta vulnerabilidad se debe a protecciones insuficientes para la interfaz de usuario web de un SYSTEM afectado. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes manipuladas a la interfaz de usuario web. Un exploit exitoso podría permitir al atacante realizar acciones arbitrarias con el nivel de privilegio del usuario afectado, como acceder a contraseñas o archivos de registro o cargar y eliminar archivos existentes del SYSTEM.
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:cisco:emergency_responder:*:*:*:*:*:*:*:* | 12.5(1)su8b (excluyendo) | |
cpe:2.3:a:cisco:emergency_responder:14:*:*:*:*:*:*:* | ||
cpe:2.3:a:cisco:emergency_responder:14su1:*:*:*:*:*:*:* | ||
cpe:2.3:a:cisco:emergency_responder:14su2:*:*:*:*:*:*:* | ||
cpe:2.3:a:cisco:emergency_responder:14su3:*:*:*:*:*:*:* | ||
cpe:2.3:a:cisco:emergency_responder:14su3a:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página