Vulnerabilidad en argumentos en comandos específicos en la CLI de administración local (local-mgmt) de Cisco UCS Manager Software (CVE-2020-3173)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
26/02/2020
Última modificación:
03/03/2020
Descripción
Una vulnerabilidad en la CLI de administración local (local-mgmt) de Cisco UCS Manager Software, podría permitir a un atacante local autenticado ejecutar comandos arbitrarios en el sistema operativo (SO) subyacente sobre un dispositivo afectado. La vulnerabilidad es debido a una comprobación de entrada insuficiente de los argumentos del comando. Un atacante podría explotar esta vulnerabilidad al incluir argumentos diseñados en comandos específicos sobre la CLI de administración local. Una explotación con éxito podría permitir a un atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario actualmente conectado para todas las plataformas afectadas, excluyendo Cisco UCS 6400 Series Fabric Interconnects. En Cisco UCS 6400 Series Fabric Interconnects, los comandos inyectados se ejecutan con privilegios root.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
7.20
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:ucs_manager:*:*:*:*:*:*:*:* | 3.2\(3n\) (excluyendo) | |
| cpe:2.3:a:cisco:ucs_manager:*:*:*:*:*:*:*:* | 4.0 (incluyendo) | 4.0\(4c\) (excluyendo) |
| cpe:2.3:h:cisco:ucs_6248up:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:ucs_6296up:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:ucs_6324:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:ucs_6332:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:ucs_6332-16up:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:ucs_64108:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:ucs_6454:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página