Vulnerabilidad en Cisco IOS XE (CVE-2019-1754)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
28/03/2019
Última modificación:
08/10/2020
Descripción
Una vulnerabilidad en el subsistema de autorización del software Cisco IOS XE podría permitir que un atacante remoto autenticado sin privilegios (nivel 1) ejecute comandos Cisco IOS privilegiados mediante el uso de la interfaz web. Esta vulnerabilidad se debe a una validación incorrecta de los privilegios de usuario de los usuarios de la interfaz web. Un atacante podría explotar esta vulnerabilidad enviando una carga útil maliciosa a un endpoint específico en la interfaz web. Su explotación con éxito podría permitir que el atacante con pocos privilegios ejecute comandos arbitrarios con privilegios mayores en el dispositivo afectado.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ios_xe:3.2.0ja:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.7.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.7.1a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.7.1b:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1b:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1c:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1d:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1e:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1s:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.9.1b:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.9.1c:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.9.1d:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página