Vulnerabilidad en el envío de peticiones con parámetros malformados en el proceso de actualización de software de Cisco TelePresence Collaboration Endpoint Software y Cisco RoomOS Software (CVE-2020-3336)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
18/06/2020
Última modificación:
24/06/2020
Descripción
Una vulnerabilidad en el proceso de actualización de software de Cisco TelePresence Collaboration Endpoint Software y Cisco RoomOS Software, podría permitir a un atacante remoto autenticado modificar el sistema de archivos para causar una denegación de servicio (DoS) u conseguir acceso privilegiado al sistema de archivos root. La vulnerabilidad es debido a una comprobación de entrada insuficiente. Un atacante con privilegios administrativos podría explotar esta vulnerabilidad mediante el envío de peticiones con parámetros malformados al sistema utilizando la consola, Secure Shell (SSH) o API web. Una explotación con éxito podría permitir a un atacante modificar la configuración del dispositivo o causar una DoS
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:roomos:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:telepresence_collaboration_endpoint:*:*:*:*:*:*:*:* | 9.9.4 (excluyendo) | |
| cpe:2.3:a:cisco:telepresence_collaboration_endpoint:*:*:*:*:*:*:*:* | 9.10.0 (incluyendo) | 9.10.2 (incluyendo) |
| cpe:2.3:a:cisco:telepresence_collaboration_endpoint:*:*:*:*:*:*:*:* | 9.12.0 (incluyendo) | 9.12.3 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página