Vulnerabilidad en la configuración de enlace de los contenedores del software Cisco SD-WAN vManage (CVE-2022-20696)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/09/2022
Última modificación:
07/11/2023
Descripción
Una vulnerabilidad en la configuración de enlace de los contenedores del software Cisco SD-WAN vManage, podría permitir a un atacante adyacente no autenticado que tenga acceso a la red lógica VPN0 también acceda a los puertos del servicio de mensajería en un sistema afectado. Esta vulnerabilidad se presenta porque los puertos del contenedor del servidor de mensajería en un sistema afectado carecen de suficientes mecanismos de protección. Un atacante podría explotar esta vulnerabilidad conectándose a los puertos del servicio de mensajería del sistema afectado. Para explotar esta vulnerabilidad, el atacante debe poder enviar tráfico de red a las interfaces dentro de la red lógica VPN0. Esta red puede estar restringida para proteger redes adyacentes físicas o lógicas, según la configuración de implementación del dispositivo. Una explotación con éxito podría permitir al atacante vea e inyecte mensajes en el servicio de mensajería
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:catalyst_sd-wan_manager:*:*:*:*:*:*:*:* | 20.7 (incluyendo) | 20.9.1 (excluyendo) |
| cpe:2.3:a:cisco:sd-wan_vmanage:*:*:*:*:*:*:*:* | 20.6.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página