Vulnerabilidad en Cisco Identity Services Engine (CVE-2018-0214)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
08/03/2018
Última modificación:
04/09/2020
Descripción
Una vulnerabilidad en determinados comandos de la interfaz de línea de comandos (CLI) de Cisco Identity Services Engine (ISE) podría permitir que un atacante local autenticado ejecute comandos arbitrarios en el sistema operativo anfitrión con los privilegios del usuario local. Esto también se conoce como inyección de comandos. Estos comandos se deberían haber restringido para este usuario. La vulnerabilidad se debe a una validación de insuficiente de los comandos CLI del usuario entrantes. Un atacante podría explotar esta vulnerabilidad autenticándose en el dispositivo objetivo y enviando un comando CLI malicioso manipulado con un valor de entrada de usuario manipulado. Su explotación con éxito podría permitir que un atacante ejecute comandos arbitrarios en el sistema afectado que deberían estar restringidos. El atacante necesitaría tener credenciales de usuario válidos para el dispositivo. Cisco Bug IDs: CSCvf49844.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:cisco:identity_services_engine:2.1\(102.103\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página