Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-04956

Опубликовано: 24 сент. 2020
Источник: fstec
CVSS3: 6.7
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость интерфейса командной строки операционной системы Cisco IOS XE связана с ошибками при нейтрализации специальных элементов в команде операционной системе. Эксплуатация уязвимости может позволить нарушителю выполнять команды с привилегиями root после перезагрузки устройства

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco IOS XE

Версия ПО

от 16.10.1до 16.12.3a включительно (Cisco IOS XE)
от 17.1.1 до 17.2.1t включительно (Cisco IOS XE)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Cisco Systems Inc. Cisco IOS XE от 16.10.1до 16.12.3a включительно
Cisco Systems Inc. Cisco IOS XE от 17.1.1 до 17.2.1t включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-cmdinj-2MzhjM6K

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 27%
0.00098
Низкий

6.7 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-3403

CVSS3: 7.8
nvd
больше 5 лет назад

A vulnerability in the CLI of Cisco IOS XE Software could allow an authenticated, local attacker to inject a command to the underlying operating system that will execute with root privileges upon the next reboot of the device. The authenticated user must have privileged EXEC permissions on the device. The vulnerability is due to insufficient protection of values passed to a script that executes during device startup. An attacker could exploit this vulnerability by writing values to a specific file. A successful exploit could allow the attacker to execute commands with root privileges each time the affected device is restarted.

github логотип

GHSA-jwvq-qvwv-pjcm

CVSS3: 7.8
github
больше 3 лет назад

A vulnerability in the CLI of Cisco IOS XE Software could allow an authenticated, local attacker to inject a command to the underlying operating system that will execute with root privileges upon the next reboot of the device. The authenticated user must have privileged EXEC permissions on the device. The vulnerability is due to insufficient protection of values passed to a script that executes during device startup. An attacker could exploit this vulnerability by writing values to a specific file. A successful exploit could allow the attacker to execute commands with root privileges each time the affected device is restarted.

EPSS

Процентиль: 27%
0.00098
Низкий

6.7 Medium

CVSS3

6.8 Medium

CVSS2