Vulnerabilidad en el canal de comunicación entre procesos (IPC) de Cisco AnyConnect Secure Mobility Client (CVE-2021-1450)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
24/02/2021
Última modificación:
07/11/2023
Descripción
Una vulnerabilidad en el canal de comunicación entre procesos (IPC) de Cisco AnyConnect Secure Mobility Client podría permitir que un atacante local autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Para explotar esta vulnerabilidad, el atacante debería tener credenciales válidas en el dispositivo. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de uno o más mensajes IPC diseñados al proceso AnyConnect en un dispositivo afectado. Una explotación con éxito podría permitir al atacante detener el proceso de AnyConnect, causando una condición de DoS en el dispositivo. Nota: El proceso bajo ataque se reiniciará automáticamente, por lo que el usuario o el administrador no deben realizar ninguna acción
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.90
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:anyconnect_secure_mobility_client:4.9\(5086\):*:*:*:*:*:*:* | ||
| cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página