CVE-2019-1863

Опубликовано: 21 авг. 2019

Источник: nvd

CVSS3: 6.5

CVSS3: 8.1

CVSS2: 9

EPSS Низкий

Описание

A vulnerability in the web-based management interface of Cisco Integrated Management Controller (IMC) Software could allow an authenticated, remote attacker to make unauthorized changes to the system configuration. The vulnerability is due to insufficient authorization enforcement. An attacker could exploit this vulnerability by sending a crafted HTTP request to the affected software. A successful exploit could allow a user with read-only privileges to change critical system configurations using administrator privileges.

Ссылки

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:cisco:unified_computing_system:4.0\(1c\)hs3:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

Одно из

cpe:2.3:a:cisco:integrated_management_controller_supervisor:*:*:*:*:*:*:*:*

Версия от 1.5.0.0 (включая) до 1.5\(9g\) (исключая)

cpe:2.3:a:cisco:integrated_management_controller_supervisor:*:*:*:*:*:*:*:*

Версия от 2.0.0.0 (включая) до 2.0\(13o\) (исключая)

cpe:2.3:a:cisco:integrated_management_controller_supervisor:*:*:*:*:*:*:*:*

Версия от 3.0.0.0 (включая) до 3.0\(4k\) (исключая)

cpe:2.3:a:cisco:integrated_management_controller_supervisor:*:*:*:*:*:*:*:*

Версия от 4.0.0.0 (включая) до 4.0\(4b\) (исключая)

Одно из

cpe:2.3:h:cisco:encs_5100:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:encs_5400:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e1120d-m3:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e140s-m2:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e160d-m2:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e160s-m3:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e168d-m2:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e180d-m3:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs_c125_m5:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs_c4200:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs_s3260:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:a:cisco:integrated_management_controller_supervisor:*:*:*:*:*:*:*:*

Версия от 4.0.0.0 (включая) до 4.0\(1d\) (исключая)

Одно из

cpe:2.3:h:cisco:encs_5100:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:encs_5400:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e1120d-m3:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e140s-m2:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e160d-m2:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e160s-m3:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e168d-m2:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e180d-m3:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs_c125_m5:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs_c4200:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs_s3260:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:a:cisco:integrated_management_controller_supervisor:*:*:*:*:*:*:*:*

Версия от 4.0.0.0 (включая) до 4.0\(2c\) (исключая)

Одно из

cpe:2.3:h:cisco:encs_5100:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:encs_5400:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e1120d-m3:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e140s-m2:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e160d-m2:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e160s-m3:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e168d-m2:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs-e180d-m3:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs_c125_m5:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs_c4200:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:ucs_s3260:-:*:*:*:*:*:*:*

EPSS

Процентиль: 22%

0.00071

Низкий

6.5 Medium

CVSS3

8.1 High

CVSS3

9 Critical

CVSS2

Дефекты

CWE-285

NVD-CWE-Other

Связанные уязвимости

GHSA-m6xp-ghfg-8fj4

github

больше 3 лет назад

BDU:2019-03063

CVSS3: 6.5

fstec

больше 6 лет назад

Уязвимость веб-интерфейса управления программного средства удалённого администрирования серверов Cisco Integrated Management Controller, позволяющая нарушителю внести несанкционированные изменения в конфигурацию системы

EPSS

Процентиль: 22%

0.00071

Низкий

6.5 Medium

CVSS3

8.1 High

CVSS3

9 Critical

CVSS2

Дефекты

CWE-285

NVD-CWE-Other