Vulnerabilidad en VyOS (CVE-2018-18556)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

17/12/2018

Última modificación:

20/01/2023

Descripción

Se ha descubierto un problema de escalado de privilegios en VyOS 1.1.8. La configuración por defecto también permite que los usuarios operadores ejecuten el binario pppd con permisos elevados (sudo). Ciertos parámetros de entrada no se validan correctamente. Un usuario operador malicioso puede ejecutar el binario con permisos elevados y aprovechar su condición de validación incorrecta para lanzar un shell controlado por el atacante con privilegios root.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.90 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.90

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:S/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 9.00 ALTA
Vector: AV:N/AC:L/Au:S/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo