Vulnerabilidad en el envío una petición HTTP en la función upload en la interfaz de administración basada en web de Cisco HyperFlex HX Data Platform (CVE-2021-1499)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
06/05/2021
Última modificación:
07/11/2023
Descripción
Una vulnerabilidad en la interfaz de administración basada en web de Cisco HyperFlex HX Data Platform, podría permitir a un atacante remoto no autenticado cargar archivos en un dispositivo afectado. Esta vulnerabilidad es debido a una falta de autenticación para la función upload. Un atacante podría explotar esta vulnerabilidad mediante el envío una petición HTTP específica hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante cargar archivos al dispositivo afectado con los permisos del usuario tomcat8
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:hyperflex_hx_data_platform:*:*:*:*:*:*:*:* | 4.0\(2e\) (excluyendo) | |
| cpe:2.3:o:cisco:hyperflex_hx_data_platform:*:*:*:*:*:*:*:* | 4.5 (incluyendo) | 4.5\(2a\) (excluyendo) |
| cpe:2.3:h:cisco:hyperflex_hx220c_af_m5:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:hyperflex_hx220c_all_nvme_m5:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:hyperflex_hx220c_edge_m5:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:hyperflex_hx220c_m5:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:hyperflex_hx240c:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:hyperflex_hx240c_af_m5:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:hyperflex_hx240c_m5:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página