Vulnerabilidad en Cisco IOS XE Software (CVE-2019-1862)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

13/05/2019

Última modificación:

15/05/2019

Descripción

Una vulnerabilidad en la interfaz de usuario basada en web (Web UI) de Cisco IOS XE Software podría permitir a un atacante remoto autenticado ejecutar comandos en el shell Linux subyacente de un dispositivo afectado con privilegios de root. La vulnerabilidad se produce porque el software afectado valida incorrectamente la entrada suministrada por el usuario. Un atacante que tenga acceso válido de administrador a un dispositivo afectado podría explotar esta vulnerabilidad suministrando un parámetro de entrada diseñado en un formulario en la interfaz de usuario de la Web, y luego enviando ese formulario. Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en el dispositivo con privilegios de root, lo que puede llevar a un compromiso completo del sistema.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.20

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:S/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 9.00 ALTA
Vector: AV:N/AC:L/Au:S/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo