Vulnerabilidad en Cisco Digital Network Architecture Center (CVE-2018-0271)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

17/05/2018

Última modificación:

09/10/2019

Descripción

Una vulnerabilidad en el gateway API de Cisco Digital Network Architecture (DNA) Center podría permitir que un atacante remoto no autenticado omita la autenticación y acceder a servicios críticos. La vulnerabilidad se debe a un error a la hora de normalizar URL antes de las peticiones de servicio. Un atacante podría explotar esta vulnerabilidad enviando una URL diseñada para explotar este problema. Su explotación con éxito podría permitir que el atacante obtenga acceso no autenticado a servicios críticos, lo que resulta en privilegios elevados en DNA Center. Esta vulnerabilidad afecta a Cisco DNA Center Software si ejecuta cualquier distribución anterior a 1.1.2. Cisco Bug IDs: CSCvi09394.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico