Vulnerabilidad en productos Cisco (CVE-2018-0181)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

10/01/2019

Última modificación:

09/10/2019

Descripción

Una vulnerabilidad en la implementación Redis, utilizada por los software Cisco Policy Suite for Mobile y Cisco Policy Suite Diameter Routing Agent, podría permitir un usuario remoto sin autenticar modificar pares de valores de clave para eventos de corta duración almacenados por el servidor Redis. La vulnerabilidad se debe a una autorización incorrecta cuando se accede al servidor de Redis. Un atacante no autenticado podría explotar esta vulnerabilidad modificando los pares de valores de clave almacenados en la base de datos de Redis. Un exploit podría permitir al atacante reducir la eficacia del software del agente de router "Cisco Policy Suite for Mobile and Cisco Policy Suite Diameter".

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico