Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-00048

Опубликовано: 03 окт. 2018
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Высокий

Описание

Уязвимость HTTP веб-сервера системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure связана с ошибками разграничения доступа для системных каталогов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загрузить и выполнить произвольный файл

Вендор

Cisco Systems Inc.

Наименование ПО

Prime Infrastructure

Версия ПО

c 3.2 до 3.5 включительно (Prime Infrastructure)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до более поздней версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.89824
Высокий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2018-15379

CVSS3: 9.8
nvd
больше 7 лет назад

A vulnerability in which the HTTP web server for Cisco Prime Infrastructure (PI) has unrestricted directory permissions could allow an unauthenticated, remote attacker to upload an arbitrary file. This file could allow the attacker to execute commands at the privilege level of the user prime. This user does not have administrative or root privileges. The vulnerability is due to an incorrect permission setting for important system directories. An attacker could exploit this vulnerability by uploading a malicious file by using TFTP, which can be accessed via the web-interface GUI. A successful exploit could allow the attacker to run commands on the targeted application without authentication.

github логотип

GHSA-h92j-m24w-8xp7

CVSS3: 9.8
github
больше 3 лет назад

A vulnerability in which the HTTP web server for Cisco Prime Infrastructure (PI) has unrestricted directory permissions could allow an unauthenticated, remote attacker to upload an arbitrary file. This file could allow the attacker to execute commands at the privilege level of the user prime. This user does not have administrative or root privileges. The vulnerability is due to an incorrect permission setting for important system directories. An attacker could exploit this vulnerability by uploading a malicious file by using TFTP, which can be accessed via the web-interface GUI. A successful exploit could allow the attacker to run commands on the targeted application without authentication.

EPSS

Процентиль: 100%
0.89824
Высокий

7.3 High

CVSS3

7.5 High

CVSS2