Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Cisco Aironet Active Sensor (CVE-2019-1675)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-798 Credenciales embebidas en el software
Fecha de publicación:
07/02/2019
Última modificación:
09/10/2019

Descripción

Una vulnerabilidad en la configuración por defecto de Cisco Aironet Active Sensor podría permitir que un atacante remoto sin autenticar reinicie el sensor. La vulnerabilidad se debe a una cuenta local por defecto con una contraseña estática. La cuenta solo tiene privilegios para reiniciar el dispositivo. Un atacante podría explotar esta vulnerabilidad adivinando el nombre de la cuenta y la contraseña para acceder a la interfaz de línea de comandos. Si se explota con éxito, podría permitir que el atacante reinicie el dispositivo repetidamente, provocando una denegación de servicio (DoS). No es posible cambiar la configuración o ver datos sensibles con esta cuenta. Las versiones anteriores a DNAC1.2.8 se han visto afectadas.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:h:cisco:aironet_active_sensor:-:*:*:*:*:*:*:*
cpe:2.3:a:cisco:digital_network_architecture_center:*:*:*:*:*:*:*:* 1.2.8 (excluyendo)