Vulnerabilidad en Cisco IOS XE (CVE-2019-1756)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
28/03/2019
Última modificación:
09/10/2019
Descripción
Una vulnerabilidad en el software Cisco IOS XE podría permitir que un atacante remoto autenticado ejecute comandos en el shell de Linux subyacente de un dispositivo afectado con privilegios root. La vulnerabilidad ocurre debido a que el software afectado sanea incorrectamente las entradas proporcionadas por el usuario. Un atacante que tenga acceso válido de administrador a un dispositivo afectado podría explotar esta vulnerabilidad proporcionando un nombre de usuario con una carga útil maliciosa en la interfaz web y, después, realizando una petición a un endpoint específico de la interfaz web. Su explotación con éxito podría permitir que el atacante ejecute comandos arbitrarios como usuario root, permitiendo el compromiso total del sistema.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ios:11.0\(20.3\):*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios:16.9\(1\):*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:3.2.0ja:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.7.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.7.1a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.7.1b:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.7.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.7.3:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1b:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1c:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1d:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1e:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.8.1s:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página