Vulnerabilidad en Cisco Catalyst SD-WAN Manager (CVE-2023-20254)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/09/2023
Última modificación:
29/09/2023
Descripción
Una vulnerabilidad en el sistema de gestión de sesiones de la función multiinquilino de Cisco Catalyst SD-WAN Manager podría permitir que un atacante remoto autenticado acceda a otro tenant que está siendo administrado por la misma instancia de Cisco Catalyst SD-WAN Manager. Esta vulnerabilidad requiere que esté habilitada la función multi-tenant. Esta vulnerabilidad se debe a una gestión insuficiente de la sesión de usuario dentro del sistema Cisco Catalyst SD-WAN Manager. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud manipulada a un sistema afectado. Un exploit exitoso podría permitir al atacante obtener acceso no autorizado a información sobre otro tenant, realizar cambios en la configuración o posiblemente desconectar a un tenant, provocando una condición de denegación de servicio.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:sd-wan_manager:*:*:*:*:*:*:*:* | 20.6.3.4 (excluyendo) | |
| cpe:2.3:a:cisco:sd-wan_manager:*:*:*:*:*:*:*:* | 20.7 (incluyendo) | 20.9.3.2 (excluyendo) |
| cpe:2.3:a:cisco:sd-wan_manager:*:*:*:*:*:*:*:* | 20.10 (incluyendo) | 20.10.1.2 (excluyendo) |
| cpe:2.3:a:cisco:sd-wan_manager:*:*:*:*:*:*:*:* | 20.11 (incluyendo) | 20.11.1.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página