Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en el código de administración de recursos del sistema de archivos del software Cisco IOS XE (CVE-2019-12658)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/09/2019
Última modificación:
08/10/2020

Descripción

Una vulnerabilidad en el código de administración de recursos del sistema de archivos del Software Cisco IOS XE, podría permitir a un atacante remoto no autenticado agotar los recursos del sistema de archivos en un dispositivo afectado y cause una condición de denegación de servicio (DoS). La vulnerabilidad es debido a la gestión ineficaz de los recursos del sistema de archivos subyacentes. Un atacante podría explotar esta vulnerabilidad al llevar a cabo acciones específicas que resulten en el envío de mensajes a archivos de registro específicos del sistema operativo. Una explotación con éxito podría permitir al atacante agotar el espacio disponible del sistema de archivos en un dispositivo afectado. Esto podría causar que el dispositivo se bloquee y se recargue, resultando en una condición DoS para los clientes cuyo tráfico de red transita por el dispositivo. Tras la recarga del dispositivo, el espacio del sistema de archivos afectado se borra y el dispositivo volverá a la operación normal. Sin embargo, la explotación continua de esta vulnerabilidad podría causar bloqueos forzosos y recargas posteriores, lo que podría conllevar a una condición DoS extendida.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: AV:N/AC:L/Au:N/C:N/I:N/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Completo

Puntuación base 2.0
7.80
Gravedad 2.0
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:cisco:ios_xe:16.6.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:16.8.1:*:*:*:*:*:*:*
cpe:2.3:h:cisco:1100_integrated_services_r:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:4221_integrated_services_r:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:4321_integrated_services_r:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:4331_integrated_services_r:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:4351_integrated_services_r:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:4431_integrated_services_r:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:4451-x_integrated_services_r:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:asr_1000:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:asr_1001-hx_r:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:asr_1001-x_r:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:asr_1002-hx_r:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:asr_1002-x_r:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:asr_900:-:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información