Vulnerabilidad en el Servicio de Automatización Ultra (UAS) del Framework Ultra Services de Cisco (CVE-2017-6711)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

06/07/2017

Última modificación:

20/04/2025

Descripción

Una vulnerabilidad en el Servicio de Automatización Ultra (UAS) del Framework Ultra Services de Cisco, podría permitir a un atacante remoto no autenticado conseguir acceso no autorizado a un dispositivo específico. La vulnerabilidad es debido a una configuración por defecto no segura del servicio ZooKeeper de Apache usado por el software afectado. Un atacante podría explotar esta vulnerabilidad accediendo al dispositivo afectado por medio de la red orchestrator. Una explotación podría permitirle al atacante conseguir acceso a los nodos de datos de ZooKeeper (znodos) e influenciar el comportamiento de la funcionalidad high-availability del sistema. Esta vulnerabilidad afecta a todas las versiones del Framework Ultra Services UAS anteriores a las 5.0.3 y 5.1 de Cisco. ID de BUG de Cisco: CSCvd29395.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

9.10

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno