Vulnerabilidad en la solución Cisco SD-WAN (CVE-2019-1648)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
24/01/2019
Última modificación:
05/10/2020
Descripción
Una vulnerabilidad en la configuración del grupo de usuarios de la solución Cisco SD-WAN podría permitir a un atacante local autenticado obtener privilegios elevados en un dispositivo afectado. La vulnerabilidad se debe a un error a la hora de validar correctamente ciertos parámetros incluidos en la configuración "group". Un atacante podría explotar esta vulnerabilidad escribiendo un archivo manipulado en el directorio donde la configuración "user group" está ubicada en el sistema operativo subyacente. Un exploit exitoso podría permitir que el atacante obtenga privilegios de nivel root y obtenga el control total del dispositivo.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
7.20
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:vedge_100_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge_100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:vedge_1000_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge_1000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:vedge_2000_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge_2000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:vedge_5000_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge_5000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:sd-wan:*:*:*:*:*:*:*:* | 18.4.0 (excluyendo) | |
| cpe:2.3:a:cisco:vbond_orchestrator:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:vmanage_network_management:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:vsmart_controller:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página