Vulnerabilidad en comandos de Cisco IOx API en los controles de autorización para la infraestructura de alojamiento de la aplicación Cisco IOx en Cisco IOS XE Software. (CVE-2020-3227)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/06/2020
Última modificación:
23/12/2022
Descripción
Una vulnerabilidad en los controles de autorización para la infraestructura de alojamiento de la aplicación Cisco IOx en Cisco IOS XE Software, podría permitir a un atacante remoto no autenticado ejecutar comandos de Cisco IOx API sin la autorización apropiada. La vulnerabilidad es debido al manejo incorrecto de las peticiones de tokens de autorización. Un atacante podría explotar esta vulnerabilidad utilizando una llamada de la API diseñada para solicitar dicho token. Una explotación podría permitir al atacante obtener un token de autorización y ejecutar cualquiera de los comandos de la API IOx sobre un dispositivo afectado.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ios_xe:3.11.6e:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.1a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.4:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.5b:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.6:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.7:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.8:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.9:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.4.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.4.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.4.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página