Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-05527

Опубликовано: 18 нояб. 2020
Источник: fstec
CVSS3: 6.3
CVSS2: 9
EPSS Низкий

Описание

Уязвимость интерфейса REST API программного средства управления сетью Cisco IoT Field Network Director связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к внутренней базе данных уязвимого устройства

Вендор

Cisco Systems Inc.

Наименование ПО

IoT Field Network Director

Версия ПО

до 4.6.1 (IoT Field Network Director)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-FND-SQL-zEkBnL2h

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 83%
0.01973
Низкий

6.3 Medium

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-26075

CVSS3: 8.8
nvd
около 5 лет назад

A vulnerability in the REST API of Cisco IoT Field Network Director (FND) could allow an authenticated, remote attacker to gain access to the back-end database of an affected device. The vulnerability is due to insufficient input validation of REST API requests that are made to an affected device. An attacker could exploit this vulnerability by crafting malicious API requests to the affected device. A successful exploit could allow the attacker to gain access to the back-end database of the affected device.

github логотип

GHSA-7fm5-2jq2-jjhm

github
больше 3 лет назад

A vulnerability in the REST API of Cisco IoT Field Network Director (FND) could allow an authenticated, remote attacker to gain access to the back-end database of an affected device. The vulnerability is due to insufficient input validation of REST API requests that are made to an affected device. An attacker could exploit this vulnerability by crafting malicious API requests to the affected device. A successful exploit could allow the attacker to gain access to the back-end database of the affected device.

EPSS

Процентиль: 83%
0.01973
Низкий

6.3 Medium

CVSS3

9 Critical

CVSS2