Vulnerabilidad en Cisco Policy Suite (CVE-2018-0089)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-312 Almacenamiento de información sensible en texto claro

Fecha de publicación:

18/01/2018

Última modificación:

09/10/2019

Descripción

Una vulnerabilidad en la función PCRF (Policy and Charging Rules Function) de Cisco Policy Suite (CPS) podría permitir que un atacante remoto no autenticado acceda a datos sensibles. El atacante podría utilizar esta información para llevar a cabo ataques de reconocimiento adicionales. El atacante podría también necesitar tener acceso a la VLAN interna donde el CPS está desplegado. La vulnerabilidad se debe a permisos incorrectos de determinados archivos del sistema y a que no se protegen lo suficiente los datos sensibles que están en reposo. Un atacante podría explotar la vulnerabilidad utilizando determinadas herramientas disponibles en la interfaz de red interna para solicitar y visualizar archivos del sistema. Un exploit podría permitir que el atacante descubra información sensible sobre la aplicación. Cisco Bug IDs: CSCvf77666.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno