Vulnerabilidad en el cliente AnyConnect en el canal interprocess communication (IPC) en Cisco AnyConnect Secure Mobility Client Software (CVE-2020-3556)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/11/2020
Última modificación:
07/11/2023
Descripción
Una vulnerabilidad en el canal interprocess communication (IPC) de Cisco AnyConnect Secure Mobility Client Software, podría permitir a un atacante local autenticado causar que un usuario de AnyConnect apuntado ejecute un script malicioso. La vulnerabilidad es debido a una falta de autenticación del oyente de IPC. Un atacante podría explotar esta vulnerabilidad mediante el envío mensajes IPC diseñados a la escucha de IPC del cliente AnyConnect. Una explotación con éxito podría permitir a un atacante causar que el usuario apuntado de AnyConnect ejecute un script. Este script se ejecutaría con los privilegios del usuario de AnyConnect apuntado. Para explotar con éxito esta vulnerabilidad, debe haber una sesión AnyConnect en curso por parte del usuario apuntado en el momento del ataque. Para explotar esta vulnerabilidad, el atacante también podría necesitar credenciales de usuario válidas en el sistema en el esta siendo ejecutado el cliente AnyConnect. Cisco no ha publicado actualizaciones de software que abordan esta vulnerabilidad
Impacto
Puntuación base 3.x
7.30
Gravedad 3.x
ALTA
Puntuación base 2.0
4.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:anyconnect_secure_mobility_client:4.9\(3052\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:anyconnect_secure_mobility_client:98.145\(86\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página