Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web del Cisco SD-WAN vManage Software (CVE-2020-3374)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
31/07/2020
Última modificación:
06/08/2020

Descripción

Una vulnerabilidad en la interfaz de administración basada en web del Cisco SD-WAN vManage Software podría permitir a un atacante remoto autenticado omitir la autorización, permitiéndole acceder a información confidencial, modificar la configuración de sistema o afectar la disponibilidad del sistema afectado. La vulnerabilidad es debido a una comprobación de autorización insuficiente en el sistema afectado. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP diseñadas hacia la interfaz de administración basada en web de un sistema afectado. Una explotación con éxito podría permitir al atacante conseguir privilegios más allá de lo que normalmente se autorizaría para su nivel de autorización de usuario configurado. El atacante puede acceder a información confidencial, modificar la configuración de sistema o afectar la disponibilidad del sistema afectado

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cisco:sd-wan:*:*:*:*:*:*:*:* 18.3.0 (incluyendo)
cpe:2.3:a:cisco:sd-wan:*:*:*:*:*:*:*:* 18.4.0 (incluyendo) 18.4.5 (excluyendo)
cpe:2.3:a:cisco:sd-wan:*:*:*:*:*:*:*:* 19.2.0 (incluyendo) 19.2.2 (excluyendo)
cpe:2.3:a:cisco:sd-wan:*:*:*:*:*:*:*:* 19.3.0 (incluyendo) 20.1.1 (excluyendo)