Vulnerabilidad en el envío de una petición HTTP en la funcionalidad de IU web de Cisco IOS XE Software (CVE-2020-3400)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/09/2020
Última modificación:
24/11/2020
Descripción
Una vulnerabilidad en la funcionalidad de la Interfaz de Usuario web de Cisco IOS XE Software, podría permitir a un atacante remoto autenticado usar partes de la Interfaz de Usuario web para las que no está autorizado. La vulnerabilidad es debido a una autorización insuficiente de las peticiones de acceso a la Interfaz de Usuario web. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada hacia la interfaz de la Interfaz de Usuario web. Una explotación con éxito podría permitir al atacante utilizar partes de la petición web para las que no está autorizado. Esto podría permitir a un usuario de solo lectura realizar acciones de un usuario administrador.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ios_xe:16.2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.1a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.4:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.5b:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.6:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.7:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.8:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.9:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:16.3.11:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.2.1t:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página