Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-01406

Опубликовано: 01 нояб. 2023
Источник: fstec
CVSS3: 8.2
CVSS2: 6.5
EPSS Низкий

Описание

Уязвимость компонента Inter-Device Communication микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD) и программного обеспечения администрирования сети Cisco Firepower Management Center (FMC) связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды с правами root

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco Firepower Management Center
Firepower Threat Defense

Версия ПО

от 6.2.3 до 6.2.3.18 включительно (Cisco Firepower Management Center)
от 6.7.0 до 6.7.0.3 включительно (Cisco Firepower Management Center)
от 6.7.0 до 6.7.0.3 включительно (Firepower Threat Defense)
от 6.2.3 до 6.2.3.18 включительно (Firepower Threat Defense)
от 7.0.0 до 7.0.5 включительно (Cisco Firepower Management Center)
от 7.1.0 до 7.1.0.3 включительно (Cisco Firepower Management Center)
от 7.2.0 до 7.2.3.1 включительно (Cisco Firepower Management Center)
от 6.6.0 до 6.6.7.1 включительно (Cisco Firepower Management Center)
от 6.4.0 до 6.4.0.17 включительно (Firepower Threat Defense)
от 7.1.0 до 7.1.0.3 включительно (Firepower Threat Defense)
от 7.2.0 до 7.2.3 включительно (Firepower Threat Defense)
от 6.4.0 до 6.4.0.17 включительно (Cisco Firepower Management Center)
от 6.6.0 до 6.6.7.1 включительно (Firepower Threat Defense)
от 7.0.0 до 7.0.5 включительно (Firepower Threat Defense)

Тип ПО

ПО программно-аппаратных средств защиты
ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-fmc-code-inj-wSHrgz8L

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 11%
0.00037
Низкий

8.2 High

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-20063

CVSS3: 8.2
nvd
больше 2 лет назад

A vulnerability in the inter-device communication mechanisms between devices that are running Cisco Firepower Threat Defense (FTD) Software and devices that are running Cisco Firepower Management (FMC) Software could allow an authenticated, local attacker to execute arbitrary commands with root permissions on the underlying operating system of an affected device. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by accessing the expert mode of an affected device and submitting specific commands to a connected system. A successful exploit could allow the attacker to execute arbitrary code in the context of an FMC device if the attacker has administrative privileges on an associated FTD device. Alternatively, a successful exploit could allow the attacker to execute arbitrary code in the context of an FTD device if the attacker has administrative privileges on an associated FMC device.

github логотип

GHSA-q7p5-7677-gx8j

CVSS3: 8.2
github
больше 2 лет назад

A vulnerability in the inter-device communication mechanisms between devices that are running Cisco Firepower Threat Defense (FTD) Software and devices that are running Cisco Firepower Management (FMC) Software could allow an authenticated, local attacker to execute arbitrary commands with root permissions on the underlying operating system of an affected device. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by accessing the expert mode of an affected device and submitting specific commands to a connected system. A successful exploit could allow the attacker to execute arbitrary code in the context of an FMC device if the attacker has administrative privileges on an associated FTD device. Alternatively, a successful exploit could allow the attacker to execute arbitrary code in the context of an FTD device if the attacker has administrative privileges on an associated FMC device.

EPSS

Процентиль: 11%
0.00037
Низкий

8.2 High

CVSS3

6.5 Medium

CVSS2