Vulnerabilidad en Cisco Integrated Management Controller (IMC) (CVE-2017-6617)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

20/04/2017

Última modificación:

20/04/2025

Descripción

Una vulnerabilidad en la funcionalidad de administración de identificación de sesión de la GUI basada en web de Cisco Integrated Management Controller (IMC) 3.0 (1c) podría permitir a un atacante remoto no autenticado secuestrar una sesión de usuario válida en un sistema afectado. La vulnerabilidad existe porque el software afectado no asigna un nuevo identificador de sesión a una sesión de usuario cuando un usuario se autentica en la GUI basada en web. Un atacante podría explotar esta vulnerabilidad usando un identificador de sesión secuestrado para conectarse al software a través de la GUI basada en web. Una explotación exitosa podría permitir al atacante secuestrar la sesión del navegador de un usuario autenticado en el sistema afectado. Cisco Bug IDs: CSCvd14583.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.40

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno