Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Cisco Identity Services Engine (CVE-2018-0214)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
08/03/2018
Última modificación:
04/09/2020

Descripción

Una vulnerabilidad en determinados comandos de la interfaz de línea de comandos (CLI) de Cisco Identity Services Engine (ISE) podría permitir que un atacante local autenticado ejecute comandos arbitrarios en el sistema operativo anfitrión con los privilegios del usuario local. Esto también se conoce como inyección de comandos. Estos comandos se deberían haber restringido para este usuario. La vulnerabilidad se debe a una validación de insuficiente de los comandos CLI del usuario entrantes. Un atacante podría explotar esta vulnerabilidad autenticándose en el dispositivo objetivo y enviando un comando CLI malicioso manipulado con un valor de entrada de usuario manipulado. Su explotación con éxito podría permitir que un atacante ejecute comandos arbitrarios en el sistema afectado que deberían estar restringidos. El atacante necesitaría tener credenciales de usuario válidos para el dispositivo. Cisco Bug IDs: CSCvf49844.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cisco:identity_services_engine:2.1\(102.103\):*:*:*:*:*:*:*