Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01814

Опубликовано: 24 мар. 2021
Источник: fstec
CVSS3: 6.6
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость функции управления доступом на основе ролей (RBAC) программного обеспечения Cisco IOS XE SD-WAN связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии в результате подключения к консольному порту и входа в систему только для чтения

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco IOS XE
Cisco IOS XE SD-WAN

Версия ПО

16.9.1 (Cisco IOS XE)
16.9.2 (Cisco IOS XE)
16.10.1 (Cisco IOS XE)
16.12.1 (Cisco IOS XE)
16.10.2 (Cisco IOS XE)
16.9.3 (Cisco IOS XE)
16.9.4 (Cisco IOS XE)
16.10.3 (Cisco IOS XE)
16.11.1 (Cisco IOS XE)
16.11.1a (Cisco IOS XE)
16.11.1b (Cisco IOS XE)
16.11.1s (Cisco IOS XE)
16.11.1c (Cisco IOS XE)
16.12.1a (Cisco IOS XE)
16.12.1c (Cisco IOS XE)
16.12.1s (Cisco IOS XE)
16.12.1t (Cisco IOS XE)
16.11.2 (Cisco IOS XE)
16.9.1 (Cisco IOS XE SD-WAN)
16.9.2 (Cisco IOS XE SD-WAN)
16.9.3 (Cisco IOS XE SD-WAN)
16.9.4 (Cisco IOS XE SD-WAN)
16.10.1 (Cisco IOS XE SD-WAN)
17.2.1 (Cisco IOS XE)
17.1.1 (Cisco IOS XE)
16.12.2 (Cisco IOS XE)
16.12.2a (Cisco IOS XE)
16.12.2s (Cisco IOS XE)
16.12.2t (Cisco IOS XE)
16.12.4 (Cisco IOS XE)
16.12.3s (Cisco IOS XE)
16.12.3a (Cisco IOS XE)
16.12.4a (Cisco IOS XE)
17.1.1a (Cisco IOS XE)
17.1.1s (Cisco IOS XE)
17.1.2 (Cisco IOS XE)
17.1.1t (Cisco IOS XE)
17.1.3 (Cisco IOS XE)
17.2.1r (Cisco IOS XE)
17.2.1a (Cisco IOS XE)
17.2.1v (Cisco IOS XE)
17.2.2 (Cisco IOS XE)
17.3.1 (Cisco IOS XE)
17.3.1a (Cisco IOS XE)
16.10.2 (Cisco IOS XE SD-WAN)
16.10.3 (Cisco IOS XE SD-WAN)
16.10.3a (Cisco IOS XE SD-WAN)
16.10.3b (Cisco IOS XE SD-WAN)
16.10.4 (Cisco IOS XE SD-WAN)
16.10.5 (Cisco IOS XE SD-WAN)
16.10.6 (Cisco IOS XE SD-WAN)
16.11.1a (Cisco IOS XE SD-WAN)
16.11.1 (Cisco IOS XE SD-WAN)
16.11.1b (Cisco IOS XE SD-WAN)
16.11.1d (Cisco IOS XE SD-WAN)
16.11.1f (Cisco IOS XE SD-WAN)
16.11.1s (Cisco IOS XE SD-WAN)
16.12.1b (Cisco IOS XE SD-WAN)
16.12.1d (Cisco IOS XE SD-WAN)
16.12.1e (Cisco IOS XE SD-WAN)
16.12.2r (Cisco IOS XE SD-WAN)
16.12.1 (Cisco IOS XE SD-WAN)
16.12.1a (Cisco IOS XE SD-WAN)
16.12.1b1 (Cisco IOS XE SD-WAN)
16.12.1c (Cisco IOS XE SD-WAN)
16.12.3 (Cisco IOS XE SD-WAN)
16.12.4 (Cisco IOS XE SD-WAN)
16.12.4a (Cisco IOS XE SD-WAN)
16.12.5 (Cisco IOS XE SD-WAN)
17.2.2a (Cisco IOS XE SD-WAN)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Cisco Systems Inc. Cisco IOS XE 16.9.1
Cisco Systems Inc. Cisco IOS XE 16.9.2
Cisco Systems Inc. Cisco IOS XE 16.10.1
Cisco Systems Inc. Cisco IOS XE 16.12.1
Cisco Systems Inc. Cisco IOS XE 16.10.2
Cisco Systems Inc. Cisco IOS XE 16.9.3
Cisco Systems Inc. Cisco IOS XE 16.9.4
Cisco Systems Inc. Cisco IOS XE 16.10.3
Cisco Systems Inc. Cisco IOS XE 16.11.1
Cisco Systems Inc. Cisco IOS XE 16.11.1a
Cisco Systems Inc. Cisco IOS XE 16.11.1b
Cisco Systems Inc. Cisco IOS XE 16.11.1s
Cisco Systems Inc. Cisco IOS XE 16.11.1c
Cisco Systems Inc. Cisco IOS XE 16.12.1a
Cisco Systems Inc. Cisco IOS XE 16.12.1c
Cisco Systems Inc. Cisco IOS XE 16.12.1s
Cisco Systems Inc. Cisco IOS XE 16.12.1t
Cisco Systems Inc. Cisco IOS XE 16.11.2
Cisco Systems Inc. Cisco IOS XE 17.2.1
Cisco Systems Inc. Cisco IOS XE 17.1.1
Cisco Systems Inc. Cisco IOS XE 16.12.2
Cisco Systems Inc. Cisco IOS XE 16.12.2a
Cisco Systems Inc. Cisco IOS XE 16.12.2s
Cisco Systems Inc. Cisco IOS XE 16.12.2t
Cisco Systems Inc. Cisco IOS XE 16.12.4
Cisco Systems Inc. Cisco IOS XE 16.12.3s
Cisco Systems Inc. Cisco IOS XE 16.12.3a
Cisco Systems Inc. Cisco IOS XE 16.12.4a
Cisco Systems Inc. Cisco IOS XE 17.1.1a
Cisco Systems Inc. Cisco IOS XE 17.1.1s
Cisco Systems Inc. Cisco IOS XE 17.1.2
Cisco Systems Inc. Cisco IOS XE 17.1.1t
Cisco Systems Inc. Cisco IOS XE 17.1.3
Cisco Systems Inc. Cisco IOS XE 17.2.1r
Cisco Systems Inc. Cisco IOS XE 17.2.1a
Cisco Systems Inc. Cisco IOS XE 17.2.1v
Cisco Systems Inc. Cisco IOS XE 17.2.2
Cisco Systems Inc. Cisco IOS XE 17.3.1
Cisco Systems Inc. Cisco IOS XE 17.3.1a

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,6)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-esc-rSNVvTf9

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 7%
0.00028
Низкий

6.6 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-1371

CVSS3: 6.6
nvd
почти 5 лет назад

A vulnerability in the role-based access control of Cisco IOS XE SD-WAN Software could allow an authenticated, local attacker with read-only privileges to obtain administrative privileges by using the console port when the device is in the default SD-WAN configuration. This vulnerability occurs because the default configuration is applied for console authentication and authorization. An attacker could exploit this vulnerability by connecting to the console port and authenticating as a read-only user. A successful exploit could allow a user with read-only permissions to access administrative privileges.

github логотип

GHSA-8qm4-vmvc-xrpj

CVSS3: 6.6
github
больше 3 лет назад

A vulnerability in the role-based access control of Cisco IOS XE SD-WAN Software could allow an authenticated, local attacker with read-only privileges to obtain administrative privileges by using the console port when the device is in the default SD-WAN configuration. This vulnerability occurs because the default configuration is applied for console authentication and authorization. An attacker could exploit this vulnerability by connecting to the console port and authenticating as a read-only user. A successful exploit could allow a user with read-only permissions to access administrative privileges.

EPSS

Процентиль: 7%
0.00028
Низкий

6.6 Medium

CVSS3

6.8 Medium

CVSS2

Уязвимость BDU:2021-01814