Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Cisco SD-WAN vManage Software (CVE-2020-26066)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
18/11/2024
Última modificación:
19/11/2024

Descripción

Una vulnerabilidad en la interfaz de usuario web de Cisco SD-WAN vManage Software podría permitir que un atacante remoto autenticado obtenga acceso de lectura y escritura a la información almacenada en un sistema afectado. La vulnerabilidad se debe a un manejo inadecuado de las entradas de entidad externa XML (XXE) al analizar determinados archivos XML. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que importe un archivo XML creado con entradas maliciosas. Una explotación exitosa podría permitir al atacante leer y escribir archivos dentro de la aplicación afectada. Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.