Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-05535

Опубликовано: 18 нояб. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Множественные уязвимости подсистемы API средства удалённого администрирования серверов Cisco Integrated Management Controller связаны с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально сформированных HTTP-запросов

Вендор

Cisco Systems Inc.

Наименование ПО

Integrated Management Controller

Версия ПО

от 3.0(1c) до 3.0(4q) включительно (Integrated Management Controller)
от 3.1 до 3.1(3k) включительно (Integrated Management Controller)
от 3.2 до 3.2.11.3 (Integrated Management Controller)
от 4.0(1a) до 4.0(2l) включительно (Integrated Management Controller)
от 4.1(1c) до 4.1(1f) включительно (Integrated Management Controller)
от 4.4 до 4.4.1 (Integrated Management Controller)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucs-api-rce-UXwpeDHd

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03203
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-3470

CVSS3: 9.8
nvd
около 5 лет назад

Multiple vulnerabilities in the API subsystem of Cisco Integrated Management Controller (IMC) could allow an unauthenticated, remote attacker to execute arbitrary code with root privileges. The vulnerabilities are due to improper boundary checks for certain user-supplied input. An attacker could exploit these vulnerabilities by sending a crafted HTTP request to the API subsystem of an affected system. When this request is processed, an exploitable buffer overflow condition may occur. A successful exploit could allow the attacker to execute arbitrary code with root privileges on the underlying operating system (OS).

github логотип

GHSA-q622-qgp9-63h7

github
больше 3 лет назад

Multiple vulnerabilities in the API subsystem of Cisco Integrated Management Controller (IMC) could allow an unauthenticated, remote attacker to execute arbitrary code with root privileges. The vulnerabilities are due to improper boundary checks for certain user-supplied input. An attacker could exploit these vulnerabilities by sending a crafted HTTP request to the API subsystem of an affected system. When this request is processed, an exploitable buffer overflow condition may occur. A successful exploit could allow the attacker to execute arbitrary code with root privileges on the underlying operating system (OS).

EPSS

Процентиль: 87%
0.03203
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2