Vulnerabilidad en la lógica de control de acceso de NETCONF sobre Secure Shell (SSH) del Software Cisco IOS XR (CVE-2019-15998)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/11/2019
Última modificación:
16/10/2020
Descripción
Una vulnerabilidad en la lógica de control de acceso de NETCONF sobre Secure Shell (SSH) del Software Cisco IOS XR, puede permitir conexiones a pesar de una lista de control de acceso (ACL) configurada para denegar el acceso a NETCONF sobre SSH de un dispositivo afectado. La vulnerabilidad es debido a una falta de comprobación en la lista de control de acceso (ACL) de NETCONF sobre SSH. Un atacante podría explotar esta vulnerabilidad al conectarse en un dispositivo afectado usando NETCONF sobre SSH. Una explotación con éxito podría permitir al atacante conectar con el dispositivo en el puerto NETCONF. Unas credenciales válidas son requeridas para acceder al dispositivo. Esta vulnerabilidad no afecta las conexiones al proceso SSH predeterminado en el dispositivo.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ios_xr:6.5.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xr:6.5.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xr:6.5.3:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:asr_9001:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:asr_9006:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:asr_9010:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:asr_9901:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:asr_9904:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:asr_9912:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:asr_9922:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página