Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-00339

Опубликовано: 22 янв. 2020
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость компонента xAPI микропрограммного обеспечения устройства управления конференц-связью Cisco TelePresence Collaboration Endpoint (CE), Cisco TelePresence Codec (TC) и операционной системы Cisco RoomOS существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации и записать произвольные файлы в файловую систему устройства

Вендор

Cisco Systems Inc.

Наименование ПО

TelePresence Collaboration Endpoint (CE)
TelePresence Codec (TC)
RoomOS

Версия ПО

до 8.3.8 (TelePresence Collaboration Endpoint (CE))
до 9.8.3 (TelePresence Collaboration Endpoint (CE))
до 9.9.2 (TelePresence Collaboration Endpoint (CE))
до 9.10.0 (TelePresence Collaboration Endpoint (CE))
до 7.3.20 (TelePresence Codec (TC))
- (RoomOS)

Тип ПО

ПО сетевого программно-аппаратного средства
Операционная система

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-telepresence-path-tr-wdrnYEZZ

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 84%
0.02275
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-3143

CVSS3: 7.2
nvd
больше 5 лет назад

A vulnerability in the video endpoint API (xAPI) of Cisco TelePresence Collaboration Endpoint (CE) Software, Cisco TelePresence Codec (TC) Software, and Cisco RoomOS Software could allow an authenticated, remote attacker to conduct directory traversal attacks on an affected device. The vulnerability is due to insufficient validation of user-supplied input to the xAPI of the affected software. An attacker could exploit this vulnerability by sending a crafted request to the xAPI. A successful exploit could allow the attacker to read and write arbitrary files in the system. To exploit this vulnerability, an attacker would need either an In-Room Control or administrator account.

github логотип

GHSA-j55q-wc55-chv4

github
больше 3 лет назад

A vulnerability in the video endpoint API (xAPI) of Cisco TelePresence Collaboration Endpoint (CE) Software, Cisco TelePresence Codec (TC) Software, and Cisco RoomOS Software could allow an authenticated, remote attacker to conduct directory traversal attacks on an affected device. The vulnerability is due to insufficient validation of user-supplied input to the xAPI of the affected software. An attacker could exploit this vulnerability by sending a crafted request to the xAPI. A successful exploit could allow the attacker to read and write arbitrary files in the system. To exploit this vulnerability, an attacker would need either an In-Room Control or administrator account.

EPSS

Процентиль: 84%
0.02275
Низкий

8.8 High

CVSS3

9 Critical

CVSS2