Vulnerabilidad en Cisco IOS XE (CVE-2023-20231)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
27/09/2023
Última modificación:
25/01/2024
Descripción
Una vulnerabilidad en la interfaz de usuario web del software Cisco IOS XE podría permitir que un atacante remoto autenticado realice un ataque de inyección contra un dispositivo afectado. Esta vulnerabilidad se debe a una validación de entrada insuficiente. Un atacante podría aprovechar esta vulnerabilidad enviando datos manipulados a la interfaz de usuario web. Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios al CLI del Cisco IOS XE con privilegios de nivel 15. Nota: Esta vulnerabilidad solo se puede explotar si el atacante obtiene las credenciales de una cuenta de Lobby Ambassador. Esta cuenta no está configurada de forma predeterminada.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ios_xe:16.12.4:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.12.4a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.12.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.12.5a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.12.5b:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.12.6:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.12.6a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.12.7:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.12.8:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.12.9:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.1a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.1w:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página