Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04934

Опубликовано: 22 сент. 2021
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость реализации функции аутентификации, авторизации и учета (Authentication, Authorization and Accounting - AAA) операционных систем Cisco IOS XE связана с использованием неинициализированного указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процедуру аутентификации и вызвать отказ в обслуживании с помощью специально сформированных запросов NETCONF или RESTCONF

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco IOS XE

Версия ПО

17.2 (Cisco IOS XE)
17.1 (Cisco IOS XE)
от 16.3 до 16.12 включительно (Cisco IOS XE)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Cisco Systems Inc. Cisco IOS XE 17.2
Cisco Systems Inc. Cisco IOS XE 17.1
Cisco Systems Inc. Cisco IOS XE от 16.3 до 16.12 включительно

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-aaa-Yx47ZT8Q

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 75%
0.00869
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-1619

CVSS3: 9.8
nvd
больше 4 лет назад

A vulnerability in the authentication, authorization, and accounting (AAA) function of Cisco IOS XE Software could allow an unauthenticated, remote attacker to bypass NETCONF or RESTCONF authentication and do either of the following: Install, manipulate, or delete the configuration of an affected device Cause memory corruption that results in a denial of service (DoS) on an affected device This vulnerability is due to an uninitialized variable. An attacker could exploit this vulnerability by sending a series of NETCONF or RESTCONF requests to an affected device. A successful exploit could allow the attacker to use NETCONF or RESTCONF to install, manipulate, or delete the configuration of a network device or to corrupt memory on the device, resulting a DoS.

github логотип

GHSA-q3g7-fff3-j4mq

CVSS3: 9.1
github
больше 3 лет назад

A vulnerability in the authentication, authorization, and accounting (AAA) function of Cisco IOS XE Software could allow an unauthenticated, remote attacker to bypass NETCONF or RESTCONF authentication and do either of the following: Install, manipulate, or delete the configuration of an affected device Cause memory corruption that results in a denial of service (DoS) on an affected device This vulnerability is due to an uninitialized variable. An attacker could exploit this vulnerability by sending a series of NETCONF or RESTCONF requests to an affected device. A successful exploit could allow the attacker to use NETCONF or RESTCONF to install, manipulate, or delete the configuration of a network device or to corrupt memory on the device, resulting a DoS.

EPSS

Процентиль: 75%
0.00869
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2