Vulnerabilidad en Cisco Policy Suite (CPS) Software (CVE-2017-6781)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
17/08/2017
Última modificación:
20/04/2025
Descripción
Una vulnerabilidad en la gestión de cuentas de usuario shell para Cisco Policy Suite (CPS) Software para aparatos CPS podría permitir que un atacante local autenticado gane privilegios elevados en un sistema afectado. El nivel de privilegios afectado no está a nivel root. La vulnerabilidad se debe a un control de acceso basado en roles o RBAC (role-based access control) incorrecto para cuentas de usuario shell. Un atacante podría explotar esta vulnerabilidad autenticándose en un aparato afectado y proporcionando entradas de usuario manipuladas mediante el CLI. Un exploit exitoso podría permitir que el atacante adquiera un mayor nivel de privilegios que el que tendría que tener. Para explotar esta vulnerabilidad, el atacante debe iniciar sesión en el aparato con credenciales válidas. Cisco Bug IDs: CSCve37724. Versiones afectadas conocidas: 9.0.0, 9.1.0, 10.0.0, 11.0.0, 12.0.0.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:policy_suite:9.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:policy_suite:9.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:policy_suite:10.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:policy_suite:11.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:policy_suite:12.0.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página