Vulnerabilidad en la interfaz web de Cisco License Manager (CVE-2017-12263)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

05/10/2017

Última modificación:

20/04/2025

Descripción

Una vulnerabilidad en la interfaz web del software Cisco License Manager podría permitir que un atacante remoto no autenticado descargue y visualice archivos en la aplicación que deberían estar restringidos. Esto también se conoce como salto de directorios. Este problema se debe a la incorrecta sanitización de las entradas proporcionadas por el usuario en parámetros de peticiones HTTP que describen nombres de archivo. Un atacante podría explotar esta vulnerabilidad empleando técnicas de salto de directorio para enviar una ruta a la localización de archivo que prefiera. Un exploit podría permitir que el atacante visualizase archivos de aplicación que pueden contener información sensible. Cisco Bug IDs: CSCvd83577.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno