Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-02158

Опубликовано: 24 мар. 2021
Источник: fstec
CVSS3: 6.8
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость функции проверки образа микропрограммного обеспечения Cisco IOS XE сетевых устройств Cisco Catalyst 9000 связана с некорректной проверкой криптографической подписи. Эксплуатация уязвимости может позволить нарушителю загрузить образ вредоносного программного обеспечения или выполнить произвольный код

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco IOS XE

Версия ПО

3.15S (Cisco IOS XE)
от 16.6 до 16.12 включительно (Cisco IOS XE)
от 17.1 до 17.4 включительно (Cisco IOS XE)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Cisco Systems Inc. Cisco IOS XE 3.15S
Cisco Systems Inc. Cisco IOS XE от 16.6 до 16.12 включительно
Cisco Systems Inc. Cisco IOS XE от 17.1 до 17.4 включительно

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-xe-cat-verify-BQ5hrXgH

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 16%
0.00052
Низкий

6.8 Medium

CVSS3

7.2 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-1453

CVSS3: 6.8
nvd
почти 5 лет назад

A vulnerability in the software image verification functionality of Cisco IOS XE Software for the Cisco Catalyst 9000 Family of switches could allow an unauthenticated, physical attacker to execute unsigned code at system boot time. The vulnerability is due to an improper check in the code function that manages the verification of the digital signatures of system image files during the initial boot process. An attacker could exploit this vulnerability by loading unsigned software on an affected device. A successful exploit could allow the attacker to boot a malicious software image or execute unsigned code and bypass the image verification check part of the secure boot process of an affected device. To exploit this vulnerability, the attacker would need to have unauthenticated physical access to the device or obtain privileged access to the root shell on the device.

github логотип

GHSA-j5cc-94pp-784r

github
больше 3 лет назад

A vulnerability in the software image verification functionality of Cisco IOS XE Software for the Cisco Catalyst 9000 Family of switches could allow an unauthenticated, physical attacker to execute unsigned code at system boot time. The vulnerability is due to an improper check in the code function that manages the verification of the digital signatures of system image files during the initial boot process. An attacker could exploit this vulnerability by loading unsigned software on an affected device. A successful exploit could allow the attacker to boot a malicious software image or execute unsigned code and bypass the image verification check part of the secure boot process of an affected device. To exploit this vulnerability, the attacker would need to have unauthenticated physical access to the device or obtain privileged access to the root shell on the device.

EPSS

Процентиль: 16%
0.00052
Низкий

6.8 Medium

CVSS3

7.2 High

CVSS2