CVE-2019-1726

Опубликовано: 15 мая 2019

Источник: nvd

CVSS3: 5.3

CVSS3: 7.8

CVSS2: 4.6

EPSS Низкий

Описание

A vulnerability in the CLI of Cisco NX-OS Software could allow an authenticated, local attacker to access internal services that should be restricted on an affected device, such as the NX-API. The vulnerability is due to insufficient validation of arguments passed to a certain CLI command. An attacker could exploit this vulnerability by including malicious input as the argument to the affected command. A successful exploit could allow the attacker to bypass intended restrictions and access internal services of the device. An attacker would need valid device credentials to exploit this vulnerability.

Ссылки

http://www.securityfocus.com/bid/108409
Third Party Advisory
VDB Entry
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-nxos-cli-bypass
Vendor Advisory
http://www.securityfocus.com/bid/108409
Third Party Advisory
VDB Entry
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-nxos-cli-bypass
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:o:cisco:nx-os:*:*:*:*:*:*:*:*

Версия от 5.2 (включая) до 6.2\(25\) (исключая)

cpe:2.3:o:cisco:nx-os:*:*:*:*:*:*:*:*

Версия от 7.3 (включая) до 8.3\(2\) (исключая)

Одно из

cpe:2.3:h:cisco:mds_9000:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:mds_9100:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:mds_9200:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:mds_9500:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:mds_9700:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:cisco:nx-os:*:*:*:*:*:*:*:*

Версия от 7.0\(3\)i7 (включая) до 7.0\(3\)i7\(3\) (исключая)

Одно из

cpe:2.3:h:cisco:nexus_3000:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_3100:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_3100-z:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_3100v:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_3200:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_3400:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_3500:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_3600:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_9000:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_9200:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_9300:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_9500:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

Одно из

cpe:2.3:o:cisco:nx-os:*:*:*:*:*:*:*:*

Версия до 6.0\(2\)a8\(11\) (исключая)

cpe:2.3:o:cisco:nx-os:*:*:*:*:*:*:*:*

Версия от 7.0\(3\) (включая) до 7.0\(3\)i7\(3\) (исключая)

Одно из

cpe:2.3:h:cisco:nexus_3524-x:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_3524-xl:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_3548-x:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_3548-xl:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:cisco:nx-os:*:*:*:*:*:*:*:*

Версия до 7.3\(4\)n1\(1\) (исключая)

Одно из

cpe:2.3:h:cisco:nexus_5500:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_5600:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_6000:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

Одно из

cpe:2.3:o:cisco:nx-os:*:*:*:*:*:*:*:*

Версия до 6.2\(22\) (исключая)

cpe:2.3:o:cisco:nx-os:*:*:*:*:*:*:*:*

Версия от 7.2 (включая) до 7.3\(3\)d1\(1\) (исключая)

cpe:2.3:o:cisco:nx-os:*:*:*:*:*:*:*:*

Версия от 8.0 (включая) до 8.3\(2\) (исключая)

Одно из

cpe:2.3:h:cisco:nexus_7000:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:nexus_7700:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:cisco:nx-os:*:*:*:*:*:*:*:*

Версия до 4.0\(1d\) (исключая)

Одно из

cpe:2.3:h:cisco:ucs_6248up:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs_6296up:-:*:*:*:*:*:*:*

EPSS

Процентиль: 13%

0.00042

Низкий

5.3 Medium

CVSS3

7.8 High

CVSS3

4.6 Medium

CVSS2

Дефекты

CWE-20

CWE-78

Связанные уязвимости

GHSA-vf5v-h8cw-pwgf

github

больше 3 лет назад

BDU:2019-02066

CVSS3: 5.3

fstec

больше 6 лет назад

Уязвимость интерфейса командной строки сетевой операционной системы Cisco NX-OS устройств Cisco, позволяющая нарушителю получить доступ к внутренним службам

EPSS

Процентиль: 13%

0.00042

Низкий

5.3 Medium

CVSS3

7.8 High

CVSS3

4.6 Medium

CVSS2

Дефекты

CWE-20

CWE-78