Vulnerabilidad en Cisco SD-WAN vManage Software (CVE-2021-1466)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

15/11/2024

Última modificación:

18/11/2024

Descripción

Una vulnerabilidad en el servicio vDaemon de Cisco SD-WAN vManage Software podría permitir que un atacante local autenticado provoque un desbordamiento de búfer en un sistema afectado, lo que daría como resultado una condición de denegación de servicio (DoS). La vulnerabilidad se debe a comprobaciones de los límites incompletas para los datos que se proporcionan al servicio vDaemon de un sistema afectado. Un atacante podría aprovechar esta vulnerabilidad enviando datos maliciosos al servicio de escucha vDaemon en el sistema afectado. Una explotación exitosa podría permitir que el atacante provoque una condición de desbordamiento de búfer en el sistema afectado, lo que podría permitirle al atacante hacer que el servicio de escucha vDaemon se vuelva a cargar y genere una condición de denegación de servicio (DoS). Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

5.40

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-vdaemon-bo-RuzzEA2