Vulnerabilidad en Data-in-Motion (CVE-2017-3853)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-119
Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria
Fecha de publicación:
22/03/2017
Última modificación:
20/04/2025
Descripción
Una vulnerabilidad en el proceso Data-in-Motion (DMo) instalado en el entorno de la aplicación Cisco IOx podría permitir a un desautenticado atacante remoto provocar stack overflow que podría permitir la ejecución remota de código con privilegios de root en la instancia virtual que se ejecuta en un dispositivo afectado. La vulnerabilidad se debe a la verificación insuficiente de límites en el proceso DMo. Un atacante podría explotar esta vulnerabilidad enviando paquetes manipulados que se envían al proceso DMo para su evaluación. Los impactos de una explotación exitosa se limitan al ámbito de la instancia virtual y no afectan al enrutador que está alojando Cisco IOx. Esta vulnerabilidad afecta las siguientes series Cisco 800 Series Industrial Integrated Services Routers: Cisco IR809 y Cisco IR829. Cisco IOx Releases 1.0.0.0 y 1.1.0.0 son vulnerables. Cisco Bug IDs: CSCuy52330.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:iox:1.1\(0\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:iox:1.1.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/97011
- http://www.securitytracker.com/id/1038105
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170322-iox
- http://www.securityfocus.com/bid/97011
- http://www.securitytracker.com/id/1038105
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170322-iox