Vulnerabilidad en la interfaz de usuario en el Framework Play de Elastic Services Controller (ESC) de Cisco (CVE-2017-6713)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
06/07/2017
Última modificación:
20/04/2025
Descripción
Una vulnerabilidad en el Framework Play de Elastic Services Controller (ESC) de Cisco, podría permitir a un atacante remoto no autenticado conseguir acceso completo al sistema afectado. La vulnerabilidad es debido a las credenciales estáticas y por defecto para la interfaz de usuario ESC de Cisco que se comparten entre las instalaciones. Un atacante que puede extraer las credenciales estáticas de una instalación existente de ESC de Cisco podría generar un token de sesión de administrador que permita el acceso a todas las instancias de la interfaz de usuario web de ESC. Esta vulnerabilidad afecta a Elastic Services Controller anterior a las versiones 2.3.1.434 y 2.3.2 de Cisco. ID de BUG de Cisco: CSCvc76627.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:elastic_services_controller:1.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:elastic_services_controller:1.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:elastic_services_controller:2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:elastic_services_controller:2.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:elastic_services_controller:2.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:elastic_services_controller:2.3.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página