Vulnerabilidad en el software NX-OS de Cisco (CVE-2019-1615)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

11/03/2019

Última modificación:

09/10/2019

Descripción

Una vulnerabilidad en la funcionalidad del software NX-OS de Cisco podría permitir a un atacante local autenticado con credenciales de privilegios de administrador instalar una imagen de software maliciosa en un dispositivo. La vulnerabilidad se debe a una verificación de firmas NX-OS incorrecta para imágenes de software. Un atacante podría explotar esta vulnerabilidad cargando una imagen de software no firmada en un dispositivo afectado. Su explotación con éxito podría permitir que el atacante cargue una imagen de software maliciosa. Nota: Para solucionar esta vulnerabilidad, es necesario instalar una actualización de BIOS como parte de la actualización de software. Para más información, consulte los detalles de este aviso. Los switches de Nexus 3000 Series se ven afectados en versiones de software anteriores a la 7.0(3)I7(5). Las versiones anteriores a la 13.2(1l) de Nexus 9000 Series Fabric Switches, en modo ACI, se ven afectadas. Los switches de Nexus 9000 Series en modo Standalone NX-OS se ven afectados en versiones de software anteriores a la 7.0(3)I7(5). Los switches de 9500 R-Series Line Cards y Fabric Modules se ven afectados en versiones anteriores a la 7.0(3)F3(5).

Impacto

Vector 3.x

CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.70 MEDIA
Vector: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.70

Gravedad 3.x

MEDIA

Vector 2.0

AV:L/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.60 MEDIA
Vector: AV:L/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0

4.60

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:cisco:nx-os:7.0\(3\)i7\(3\):::::::*
cpe:2.3:o:cisco:nx-os:9.2\(1\):::::::*
cpe:2.3:o:cisco:nx-os:12.3\(0.97\):::::::*
cpe:2.3:h:cisco:9432pq:-:::::::*
cpe:2.3:h:cisco:9536pq:-:::::::*
cpe:2.3:h:cisco:9636pq:-:::::::*
cpe:2.3:h:cisco:9736pq:-:::::::*
cpe:2.3:h:cisco:n9k-x9432c-s:-:::::::*
cpe:2.3:h:cisco:n9k-x9464px:-:::::::*
cpe:2.3:h:cisco:n9k-x9464tx2:-:::::::*
cpe:2.3:h:cisco:n9k-x9564px:-:::::::*
cpe:2.3:h:cisco:n9k-x9564tx:-:::::::*
cpe:2.3:h:cisco:n9k-x9636c-r:-:::::::*
cpe:2.3:h:cisco:n9k-x9636c-rx:-:::::::*
cpe:2.3:h:cisco:n9k-x97160yc-ex:-:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:o:cisco:nx-os:7.0\(3\)i7\(3\):::::::*
cpe:2.3:o:cisco:nx-os:9.2\(1\):::::::*
cpe:2.3:o:cisco:nx-os:12.3\(0.97\):::::::*
cpe:2.3:h:cisco:9432pq:-:::::::*
cpe:2.3:h:cisco:9536pq:-:::::::*
cpe:2.3:h:cisco:9636pq:-:::::::*
cpe:2.3:h:cisco:9736pq:-:::::::*
cpe:2.3:h:cisco:n9k-x9432c-s:-:::::::*
cpe:2.3:h:cisco:n9k-x9464px:-:::::::*
cpe:2.3:h:cisco:n9k-x9464tx2:-:::::::*
cpe:2.3:h:cisco:n9k-x9564px:-:::::::*
cpe:2.3:h:cisco:n9k-x9564tx:-:::::::*
cpe:2.3:h:cisco:n9k-x9636c-r:-:::::::*
cpe:2.3:h:cisco:n9k-x9636c-rx:-:::::::*
cpe:2.3:h:cisco:n9k-x97160yc-ex:-:::::::*

Vulnerabilidad en el software NX-OS de Cisco (CVE-2019-1615)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información