Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02983

Опубликовано: 02 нояб. 2021
Источник: fstec
CVSS3: 7.8
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость защиты файла конфигурации диспетчера виртуализированной инфраструктуры Cisco Virtualized Infrastructure Manager (VIM) связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальной информации и повысить свои привилегии

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco Virtualized Infrastructure Manager

Версия ПО

до 3.6 включительно (Cisco Virtualized Infrastructure Manager)
от 4.0.0 до 4.2.2 (Cisco Virtualized Infrastructure Manager)

Тип ПО

ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

1. Использование рекомендаций производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vim-privesc-T2tsFUf
2. Компенсирующие меры:
- необходимо подключиться к интерфейсу командной строки уязвимого устройства с правами root;
- выполнить команду:
# chmod 600 /opt/cisco/mercury_restapi/app.conf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 33%
0.00129
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-20732

CVSS3: 7.8
nvd
почти 4 года назад

A vulnerability in the configuration file protections of Cisco Virtualized Infrastructure Manager (VIM) could allow an authenticated, local attacker to access confidential information and elevate privileges on an affected device. This vulnerability is due to improper access permissions for certain configuration files. An attacker with low-privileged credentials could exploit this vulnerability by accessing an affected device and reading the affected configuration files. A successful exploit could allow the attacker to obtain internal database credentials, which the attacker could use to view and modify the contents of the database. The attacker could use this access to the database to elevate privileges on the affected device.

github логотип

GHSA-cx86-w5j3-gfqp

CVSS3: 7.8
github
почти 4 года назад

A vulnerability in the configuration file protections of Cisco Virtualized Infrastructure Manager (VIM) could allow an authenticated, local attacker to access confidential information and elevate privileges on an affected device. This vulnerability is due to improper access permissions for certain configuration files. An attacker with low-privileged credentials could exploit this vulnerability by accessing an affected device and reading the affected configuration files. A successful exploit could allow the attacker to obtain internal database credentials, which the attacker could use to view and modify the contents of the database. The attacker could use this access to the database to elevate privileges on the affected device.

EPSS

Процентиль: 33%
0.00129
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2