Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03224

Опубликовано: 21 авг. 2019
Источник: fstec
CVSS3: 7.2
CVSS2: 9
EPSS Средний

Описание

Уязвимость веб-интерфейса управления супервизора Cisco Integrated Management Controller (IMC) Supervisor, средств управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды путем отправки вредоносного запроса

Вендор

Cisco Systems Inc.

Наименование ПО

UCS Director
UCS Director Express for Big Data
Integrated Management Controller (IMC) Supervisor

Версия ПО

6.0 (UCS Director)
6.5 (UCS Director)
от 6.6.0.0 до 6.6.1.0 включительно (UCS Director)
от 6.7.0.0 до 6.7.1.0 включительно (UCS Director)
3.0 (UCS Director Express for Big Data)
3.5 (UCS Director Express for Big Data)
3.6 (UCS Director Express for Big Data)
от 3.7.0.0 до 3.7.1.0 включительно (UCS Director Express for Big Data)
2.1 (Integrated Management Controller (IMC) Supervisor)
от 2.2.0.0 до 2.2.0.6 включительно (Integrated Management Controller (IMC) Supervisor)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190821-imcs-ucs-cmdinj

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.62361
Средний

7.2 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2019-1936

CVSS3: 7.2
nvd
больше 6 лет назад

A vulnerability in the web-based management interface of Cisco Integrated Management Controller (IMC) Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data could allow an authenticated, remote attacker to execute arbitrary commands on the underlying Linux shell as the root user. Exploitation of this vulnerability requires privileged access to an affected device. The vulnerability is due to insufficient validation of user-supplied input by the web-based management interface. An attacker could exploit this vulnerability by logging in to the web-based management interface with administrator privileges and then sending a malicious request to a certain part of the interface.

github логотип

GHSA-v93p-j269-v6hr

CVSS3: 7.2
github
больше 3 лет назад

A vulnerability in the web-based management interface of Cisco Integrated Management Controller (IMC) Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data could allow an authenticated, remote attacker to execute arbitrary commands on the underlying Linux shell as the root user. Exploitation of this vulnerability requires privileged access to an affected device. The vulnerability is due to insufficient validation of user-supplied input by the web-based management interface. An attacker could exploit this vulnerability by logging in to the web-based management interface with administrator privileges and then sending a malicious request to a certain part of the interface.

EPSS

Процентиль: 98%
0.62361
Средний

7.2 High

CVSS3

9 Critical

CVSS2