Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01873

Опубликовано: 24 мар. 2021
Источник: fstec
CVSS3: 6.5
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость программной платформы IOx операционных систем Cisco IOS XE и Cisco IOS, программно-аппаратного средства защиты Cisco IC3000 Industrial Compute Gateway, связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность и целостность защищаемой информации

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco IOS XE
Cisco IOS
CGR 1000 Compute Module: CGR 1000 IOx Compute Platform
IC3000 Industrial Compute Gateway: Industrial Compute Gateway Software

Версия ПО

до 16.3.1 (Cisco IOS XE)
до 15.8(3)M2 включительно (Cisco IOS)
до 1.9 включительно (CGR 1000 Compute Module: CGR 1000 IOx Compute Platform)
- (IC3000 Industrial Compute Gateway: Industrial Compute Gateway Software)

Тип ПО

Операционная система
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Cisco Systems Inc. Cisco IOS XE до 16.3.1
Cisco Systems Inc. Cisco IOS до 15.8(3)M2 включительно

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iox-pt-hWGcPf7g

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 46%
0.00236
Низкий

6.5 Medium

CVSS3

8.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-1385

CVSS3: 6.5
nvd
почти 5 лет назад

A vulnerability in the Cisco IOx application hosting environment of multiple Cisco platforms could allow an authenticated, remote attacker to conduct directory traversal attacks and read and write files on the underlying operating system or host system. This vulnerability occurs because the device does not properly validate URIs in IOx API requests. An attacker could exploit this vulnerability by sending a crafted API request that contains directory traversal character sequences to an affected device. A successful exploit could allow the attacker to read or write arbitrary files on the underlying operating system.

github логотип

GHSA-hrv5-5xv9-vp4p

CVSS3: 6.5
github
больше 3 лет назад

A vulnerability in the Cisco IOx application hosting environment of multiple Cisco platforms could allow an authenticated, remote attacker to conduct directory traversal attacks and read and write files on the underlying operating system or host system. This vulnerability occurs because the device does not properly validate URIs in IOx API requests. An attacker could exploit this vulnerability by sending a crafted API request that contains directory traversal character sequences to an affected device. A successful exploit could allow the attacker to read or write arbitrary files on the underlying operating system.

EPSS

Процентиль: 46%
0.00236
Низкий

6.5 Medium

CVSS3

8.5 High

CVSS2