Vulnerabilidad en un endpoint de la API en Big Switch Big Monitoring Fabric, Big Cloud Fabric y Director Multi-Cloud (CVE-2019-19631)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
24/01/2020
Última modificación:
24/08/2020
Descripción
Se detectó un problema en Big Switch Big Monitoring Fabric versiones 6.2 hasra 6.2.4, 6.3 hasta 6.3.9, 7.0 hasta 7.0.3 y 7.1 hasta 7.1.3; Big Cloud Fabric versiones 4.5 hasta 4.5.5, 4.7 hasta 4.7.7, 5.0 hasta 5.0.1 y 5.1 hasta 5.1.4; y Director Multi-Cloud versiones hasta 1.1.0. Un usuario de solo lectura puede acceder a información confidencial por medio de un endpoint de la API que revela cookies de sesión de administradores autenticados, conllevando a una escalada de privilegios.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:bigswitch:big_cloud_fabric:*:*:*:*:*:*:*:* | 4.5 (incluyendo) | 4.5.5 (excluyendo) |
| cpe:2.3:a:bigswitch:big_cloud_fabric:*:*:*:*:*:*:*:* | 4.7 (incluyendo) | 4.7.7 (excluyendo) |
| cpe:2.3:a:bigswitch:big_cloud_fabric:*:*:*:*:*:*:*:* | 5.0 (incluyendo) | 5.0.1 (excluyendo) |
| cpe:2.3:a:bigswitch:big_cloud_fabric:*:*:*:*:*:*:*:* | 5.1 (incluyendo) | 5.1.4 (excluyendo) |
| cpe:2.3:a:bigswitch:big_monitoring_fabric:*:*:*:*:*:*:*:* | 6.2 (incluyendo) | 6.2.4 (excluyendo) |
| cpe:2.3:a:bigswitch:big_monitoring_fabric:*:*:*:*:*:*:*:* | 6.3 (incluyendo) | 6.3.9 (excluyendo) |
| cpe:2.3:a:bigswitch:big_monitoring_fabric:*:*:*:*:*:*:*:* | 7.0 (incluyendo) | 7.0.3 (excluyendo) |
| cpe:2.3:a:bigswitch:big_monitoring_fabric:*:*:*:*:*:*:*:* | 7.1 (incluyendo) | 7.1.4 (excluyendo) |
| cpe:2.3:a:bigswitch:multi-cloud_director:*:*:*:*:*:*:*:* | 1.1.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página