Vulnerabilidad en la programación de reglas de la tabla IP de la interfaz de administración fuera de banda (CVE-2020-3139)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
26/01/2020
Última modificación:
28/01/2020
Descripción
Una vulnerabilidad en la programación de reglas de la tabla IP de la interfaz de administración fuera de banda (OOB) para el Controlador de Infraestructura de Políticas de Aplicación de Cisco (APIC) podría permitir que un atacante remoto no autenticado omita las entradas denegadas configuradas para puertos IP específicos. Estos puertos IP se permitirían a la interfaz de administración OOB cuando, de hecho, los paquetes deberían descartarse. La vulnerabilidad se debe a la configuración de entradas específicas de la tabla IP para las cuales hay un error de lógica de programación que hace que se permita el puerto IP. Un atacante podría aprovechar esta vulnerabilidad enviando tráfico a la interfaz de administración OOB en el dispositivo de destino. Una explotación con éxito podría permitir que el atacante omita las reglas configuradas de la tabla IP para eliminar el tráfico específico del puerto IP. El atacante no tiene control sobre la configuración del dispositivo en sí. Esta vulnerabilidad afecta a las versiones de Cisco APIC anteriores a la primera versión de software fija 4.2 (3j).
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:application_policy_infrastructure_controller:*:*:*:*:*:*:*:* | 4.2\(3j\) (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página