Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05183

Опубликовано: 13 апр. 2022
Источник: fstec
CVSS3: 4.7
CVSS2: 6.5
EPSS Низкий

Описание

Уязвимость веб-интерфейса операционных систем Cisco IOS XE существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить команды в базовую операционную систему с привилегиями root в результате отправки специально созданных данных

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco IOS XE

Версия ПО

- (Cisco IOS XE)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,7)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webuiapi-inj-Nyrq92Od

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.0241
Низкий

4.7 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-20693

CVSS3: 4.7
nvd
почти 4 года назад

A vulnerability in the web UI feature of Cisco IOS XE Software could allow an authenticated, remote attacker to perform an injection attack against an affected device. This vulnerability is due to insufficient input validation. An attacker could exploit this vulnerability by sending crafted input to the web UI API. A successful exploit could allow the attacker to inject commands to the underlying operating system with root privileges.

github логотип

GHSA-pr98-wpx5-8xmp

CVSS3: 7.2
github
почти 4 года назад

A vulnerability in the web UI feature of Cisco IOS XE Software could allow an authenticated, remote attacker to perform an injection attack against an affected device. This vulnerability is due to insufficient input validation. An attacker could exploit this vulnerability by sending crafted input to the web UI API. A successful exploit could allow the attacker to inject commands to the underlying operating system with root privileges.

EPSS

Процентиль: 85%
0.0241
Низкий

4.7 Medium

CVSS3

6.5 Medium

CVSS2