Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-03021

Опубликовано: 17 июн. 2020
Источник: fstec
CVSS3: 7.2
CVSS2: 9
EPSS Низкий

Описание

Уязвимость службы обновления программного обеспечения микропрограммного обеспечения устройств управления конференц-связью Cisco TelePresence Collaboration Endpoint Software и операционной системы Cisco RoomOS существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, изменить файловую систему и вызвать отказ в обслуживании или получить привилегированный доступ к корневой файловой системе в результате отправки запросов с неверно заданными параметрами в систему с помощью консоли Secure Shell (SSH) или веб-API

Вендор

Cisco Systems Inc.

Наименование ПО

RoomOS
Collaboration Endpoint (CE) Software

Версия ПО

- (RoomOS)
до 9.9.4 (Collaboration Endpoint (CE) Software)
от 9.10.0 до 9.10.2 (Collaboration Endpoint (CE) Software)
от 9.12.0 до 9.12.3 (Collaboration Endpoint (CE) Software)

Тип ПО

Операционная система
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Cisco Systems Inc. RoomOS -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-tp-cmd-inj-7ZpWhvZb

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 80%
0.01388
Низкий

7.2 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-3336

CVSS3: 7.2
nvd
больше 5 лет назад

A vulnerability in the software upgrade process of Cisco TelePresence Collaboration Endpoint Software and Cisco RoomOS Software could allow an authenticated, remote attacker to modify the filesystem to cause a denial of service (DoS) or gain privileged access to the root filesystem. The vulnerability is due to insufficient input validation. An attacker with administrative privileges could exploit this vulnerability by sending requests with malformed parameters to the system using the console, Secure Shell (SSH), or web API. A successful exploit could allow the attacker to modify the device configuration or cause a DoS.

github логотип

GHSA-xm4r-pr55-hfw3

github
больше 3 лет назад

A vulnerability in the software upgrade process of Cisco TelePresence Collaboration Endpoint Software and Cisco RoomOS Software could allow an authenticated, remote attacker to modify the filesystem to cause a denial of service (DoS) or gain privileged access to the root filesystem. The vulnerability is due to insufficient input validation. An attacker with administrative privileges could exploit this vulnerability by sending requests with malformed parameters to the system using the console, Secure Shell (SSH), or web API. A successful exploit could allow the attacker to modify the device configuration or cause a DoS.

EPSS

Процентиль: 80%
0.01388
Низкий

7.2 High

CVSS3

9 Critical

CVSS2