Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web del Cisco SD-WAN vManage Software (CVE-2020-3374)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
31/07/2020
Última modificación:
06/08/2020
Descripción
Una vulnerabilidad en la interfaz de administración basada en web del Cisco SD-WAN vManage Software podría permitir a un atacante remoto autenticado omitir la autorización, permitiéndole acceder a información confidencial, modificar la configuración de sistema o afectar la disponibilidad del sistema afectado. La vulnerabilidad es debido a una comprobación de autorización insuficiente en el sistema afectado. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP diseñadas hacia la interfaz de administración basada en web de un sistema afectado. Una explotación con éxito podría permitir al atacante conseguir privilegios más allá de lo que normalmente se autorizaría para su nivel de autorización de usuario configurado. El atacante puede acceder a información confidencial, modificar la configuración de sistema o afectar la disponibilidad del sistema afectado
Impacto
Puntuación base 3.x
9.90
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:cisco:sd-wan:*:*:*:*:*:*:*:* | 18.3.0 (incluyendo) | |
cpe:2.3:a:cisco:sd-wan:*:*:*:*:*:*:*:* | 18.4.0 (incluyendo) | 18.4.5 (excluyendo) |
cpe:2.3:a:cisco:sd-wan:*:*:*:*:*:*:*:* | 19.2.0 (incluyendo) | 19.2.2 (excluyendo) |
cpe:2.3:a:cisco:sd-wan:*:*:*:*:*:*:*:* | 19.3.0 (incluyendo) | 20.1.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página