Vulnerabilidad en Cisco Prime Infrastructure (CVE-2018-0096)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

18/01/2018

Última modificación:

09/10/2019

Descripción

Una vulnerabilidad en la funcionalidad RBAC (control de acceso basado en roles) de Cisco Prime Infrastructure podría permitir que un atacante remoto autenticado realice un escalado de privilegios en el que un usuario de un dominio virtual puede visualizar y modificar la configuración de otro dominio virtual. La vulnerabilidad se debe a no poder cumplir correctamente el RBAC para los dominios virtuales. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP manipulada a una aplicación objetivo. Su explotación podría permitir que un atacante omita las políticas RBAC en el sistema objetivo para modificar un dominio virtual y acceder a recursos que no son normalmente accesibles. Cisco Bug IDs: CSCvg36875.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.90

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:S/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.90 MEDIA
Vector: AV:N/AC:M/Au:S/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno