Vulnerabilidad en routers de Cisco (CVE-2018-0127)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
08/02/2018
Última modificación:
04/09/2020
Descripción
Una vulnerabilidad en la interfaz web de routers Cisco RV132W ADSL2+ Wireless-N VPN Routers y Cisco RV134W VDSL2 Wireless-AC VPN podría permitir que un atacante remoto no autenticado vea parámetros de configuración para un dispositivo afectado, lo que podría desembocar en la revelación de información confidencial. La vulnerabilidad se debe a la falta de requisitos para la autenticación de usuarios en ciertas páginas que forman parte de la interfaz web y contienen información confidencial para un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad enviando una petición HTTP manipulada a un dispositivo afectado y examinando su respuesta HTTP. Un exploit con éxito podría permitir que el atacante vea parámetros de configuración, incluyendo la contraseña de administrador, en el dispositivo afectado. Cisco Bug IDs: CSCvg92739, CSCvh60172.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:rv132w_firmware:1.0.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:rv132w_firmware:1.0.1.8:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:rv132w:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:rv134w_firmware:1.0.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:rv134w_firmware:1.0.1.8:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:rv134w:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página