Vulnerabilidad en una respuesta ARP en las aplicaciones access control (org.onosproject.acl) y host mobility (org.onosproject.mobility) en ONOS (CVE-2019-11189)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/02/2020
Última modificación:
28/02/2020
Descripción
Una Omisión de Autenticación mediante Suplantación de Identidad en org.onosproject.acl (access control) y org.onosproject.mobility (host mobility) en ONOS versiones anteriores a v2.0, permite a atacantes omitir el control de acceso a la red por medio de una inyección de paquetes en el plano de datos. Para explotar esta vulnerabilidad, un atacante envía una respuesta ARP gratuita que causa que la aplicación host mobility elimine las reglas de denegación de flujo de control de acceso existentes en la red. La aplicación access control no reinstala las reglas de denegación de flujo, ya que el atacante puede omitir la política de control de acceso prevista.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opennetworking:onos:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página