Vulnerabilidad en la instalación de una imagen OVA en el Software Cisco NX-OS y el Software Cisco IOS XE (CVE-2019-12662)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/09/2019
Última modificación:
09/10/2019
Descripción
Una vulnerabilidad en el Software Cisco NX-OS y el Software Cisco IOS XE, podría permitir que un atacante local autenticado con credenciales válidas de administrador o nivel de privilegio 15 cargue una imagen de servicio virtual y omita la comprobación de firma en un dispositivo afectado. La vulnerabilidad es debido a una comprobación de firma inapropiada durante la instalación de una imagen de Open Virtual Appliance (OVA). Un atacante local autenticado podría explotar esta vulnerabilidad y cargar una imagen OVA maliciosa y sin firmar en un dispositivo afectado. Una explotación con éxito podría permitir a un atacante llevar a cabo la ejecución de código en una imagen OVA de software diseñada.
Impacto
Puntuación base 3.x
6.70
Gravedad 3.x
MEDIA
Puntuación base 2.0
7.20
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ios_xe:16.8.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:nx-os:8.1\(0.2\)s0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:nx-os:8.1\(1\):*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:nx-os:8.1\(1\)s5:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:mds_9000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:nx-os:8.1\(0\)bd\(0.20\):*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_9000v:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_92160yc-x:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_92300yc:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_92304qc:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_92348gc-x:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_9236c:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_9272q:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_93108tc-ex:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_93108tc-fx:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página