BDU:2016-00959

Опубликовано: 07 апр. 2016

Источник: fstec

CVSS2: 5.5

EPSS Низкий

Описание

Уязвимость программного средства управления сетевыми сервисами Cisco Evolved Programmable Network Manager и программного средства управления жизненным циклом сетей Cisco Prime Infrastructure связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие RBAC-ограничения и повысить свои привилегии при помощи HTTP-запроса

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco Evolved Programmable Network Manager

Prime Infrastructure

Версия ПО

1.2 (Cisco Evolved Programmable Network Manager)

от 1.2.0 до 2.2(2) включительно (Prime Infrastructure)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)

Возможные меры по устранению уязвимости

Обновление программного средства Cisco Evolved Programmable Network Manager до версии 1.2 MP2 Patch1, 1.2 MP4 Patch2 или новее. Обновление программного средства Cisco Prime Infrastructure до версии 3.0.3 или новее

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160406-privauth

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1290
CVE

EPSS

Процентиль: 38%

0.00165

Низкий

5.5 Medium

CVSS2

Связанные уязвимости

CVE-2016-1290

CVSS3: 8.1

nvd

почти 10 лет назад

The web API in Cisco Prime Infrastructure 1.2.0 through 2.2(2) and Cisco Evolved Programmable Network Manager (EPNM) 1.2 allows remote authenticated users to bypass intended RBAC restrictions and gain privileges via an HTTP request that is inconsistent with a pattern filter, aka Bug ID CSCuy10227.

GHSA-625w-q59j-3hjc