Vulnerabilidad en en la web del Supervisor del Controlador Integrado de Administración de Cisco (IMC), el Director de Cisco UCS y el Director de Cisco UCS Express para Big Data (CVE-2019-12634)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
21/08/2019
Última modificación:
08/10/2020
Descripción
Una vulnerabilidad en la interfaz de administración basada en la web del Supervisor del Controlador Integrado de Administración de Cisco (IMC), el Director de Cisco UCS y el Director de Cisco UCS Express para Big Data podría permitir que un atacante remoto no autenticado cause una condición de denegación de servicio (DoS). La vulnerabilidad se debe a una falta de verificación de autenticación en una llamada a la API. Un atacante que puede enviar una solicitud a un sistema afectado podría hacer que todos los usuarios autenticados actualmente cierren sesión. La explotación repetida podría causar la incapacidad de mantener una sesión en el portal de administración basado en la web.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:integrated_management_controller_supervisor:*:*:*:*:*:*:*:* | 2.2.0.3 (incluyendo) | 2.2.0.6 (incluyendo) |
| cpe:2.3:a:cisco:ucs_director:*:*:*:*:*:*:*:* | 6.7.0.0 (incluyendo) | 6.7.2.0 (incluyendo) |
| cpe:2.3:a:cisco:ucs_director:6.6.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:ucs_director:6.6.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:ucs_director_express_for_big_data:*:*:*:*:*:*:*:* | 3.7.0.0 (incluyendo) | 3.7.2.0 (incluyendo) |
| cpe:2.3:a:cisco:ucs_director_express_for_big_data:3.6.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:ucs_director_express_for_big_data:3.6.1.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página