Vulnerabilidad en Cisco IOS XE (CVE-2024-20316)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/03/2024
Última modificación:
30/07/2025
Descripción
Una vulnerabilidad en los servicios de interfaz de modelo de datos (DMI) del software Cisco IOS XE podría permitir que un atacante remoto no autenticado acceda a recursos que deberían haber estado protegidos por una lista de control de acceso (ACL) IPv4 configurada. Esta vulnerabilidad se debe al manejo inadecuado de las condiciones de error cuando un administrador de dispositivo autorizado exitosamente actualiza una ACL IPv4 usando el protocolo NETCONF o RESTCONF, y la actualización reordenaría las entradas de control de acceso (ACE) en la ACL actualizada. Un atacante podría aprovechar esta vulnerabilidad accediendo a recursos que deberían haber estado protegidos en un dispositivo afectado.
Impacto
Puntuación base 3.x
5.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ios_xe:16.3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.1a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.4:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.5b:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.6:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.7:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.8:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.9:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.11:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.4.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.4.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página