Vulnerabilidad en Cisco IOS XE (CVE-2019-1745)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
28/03/2019
Última modificación:
13/07/2021
Descripción
Una vulnerabilidad en el software Cisco IOS XE podría permitir que un atacante local autenticado inyecte comandos arbitrarios que se ejecutan con privilegios elevados. La vulnerabilidad se debe a una validación insuficiente de entrada de comandos proporcionados por el usuario. Un atacante podría explotar esta vulnerabilidad autenticándose en el dispositivo y enviando entradas manipuladas a los comandos afectados. Un exploit exitoso podría permitir que el atacante obtenga privilegios root en el dispositivo afectado.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
7.20
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ios_xe:3.6.10e:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.0s:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.1s:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.2as:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.2s:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.2ts:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.3s:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.4s:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.5s:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.6s:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.7s:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.8as:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.8s:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.9s:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.10.10s:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página