Vulnerabilidad en SO Invitado en el entorno de la aplicación IOx para Software Cisco IOS (CVE-2019-12648)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/09/2019
Última modificación:
09/10/2019
Descripción
Una vulnerabilidad en el entorno de la aplicación IOx para Software Cisco IOS, podría permitir a un atacante remoto autenticado conseguir acceso no autorizado al Sistema Operativo Invitado (SO Invitado) que es ejecutado en un dispositivo afectado. La vulnerabilidad es debido a una evaluación incorrecta del control de acceso basado en roles (RBAC) cuando un usuario poco privilegiado solicita acceso a un SO Invitado que debe ser restringida a cuentas administrativas. Un atacante podría explotar esta vulnerabilidad mediante la autenticación en el Sistema Operativo Invitado mediante el empleo de las credenciales de un usuario poco privilegiado. Una explotación podría permitir al atacante conseguir acceso no autorizado al sistema operativo invitado como un usuario root.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ios:15.7\(3\)m3:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:807_industrial_integrated_services_routers:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:809_industrial_integrated_services_routers:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:829_industrial_integrated_services_routers:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:cgr_1120:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:cgr1240:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página