exploitDog

CVE-2019-1880

Опубликовано: 05 июн. 2019

Источник: nvd

CVSS3: 4.4

CVSS2: 2.1

EPSS Низкий

Описание

A vulnerability in the BIOS upgrade utility of Cisco Unified Computing System (UCS) C-Series Rack Servers could allow an authenticated, local attacker to install compromised BIOS firmware on an affected device. The vulnerability is due to insufficient validation of the firmware image file. An attacker could exploit this vulnerability by executing the BIOS upgrade utility with a specific set of options. A successful exploit could allow the attacker to bypass the firmware signature-verification process and install compromised BIOS firmware on an affected device.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:cisco:unified_computing_system_server_firmware:*:*:*:*:*:*:*:*

Версия до 4.0\(2g\) (исключая)

cpe:2.3:h:cisco:unified_computing_system_c125_m5:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

Одно из

cpe:2.3:o:cisco:unified_computing_system_server_firmware:*:*:*:*:*:*:*:*

Версия до 3.0\(4l\) (исключая)

cpe:2.3:o:cisco:unified_computing_system_server_firmware:*:*:*:*:*:*:*:*

Версия от 4.0 (включая) до 4.0\(2g\) (исключая)

cpe:2.3:h:cisco:unified_computing_system_c220_m4:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:cisco:unified_computing_system_server_firmware:*:*:*:*:*:*:*:*

Версия до 4.0\(4c\) (исключая)

cpe:2.3:h:cisco:unified_computing_system_c220_m5:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

Одно из

cpe:2.3:o:cisco:unified_computing_system_server_firmware:*:*:*:*:*:*:*:*

Версия до 3.0\(4l\) (исключая)

cpe:2.3:o:cisco:unified_computing_system_server_firmware:*:*:*:*:*:*:*:*

Версия от 4.0 (включая) до 4.0\(2g\) (исключая)

cpe:2.3:h:cisco:unified_computing_system_c240_m4:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:cisco:unified_computing_system_server_firmware:*:*:*:*:*:*:*:*

Версия до 4.0\(4c\) (исключая)

cpe:2.3:h:cisco:unified_computing_system_c240_m5:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

Одно из

cpe:2.3:o:cisco:unified_computing_system_server_firmware:*:*:*:*:*:*:*:*

Версия до 3.0\(4l\) (исключая)

cpe:2.3:o:cisco:unified_computing_system_server_firmware:*:*:*:*:*:*:*:*

Версия от 4.0 (включая) до 4.0\(2g\) (исключая)

cpe:2.3:h:cisco:unified_computing_system_c460_m4:-:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

cpe:2.3:o:cisco:unified_computing_system_server_firmware:*:*:*:*:*:*:*:*

Версия до 4.0\(4c\) (исключая)

cpe:2.3:h:cisco:unified_computing_system_c480_m5:-:*:*:*:*:*:*:*

EPSS

Процентиль: 6%

0.00025

Низкий

4.4 Medium

CVSS3

2.1 Low

CVSS2

Дефекты

CWE-345

CWE-345

Связанные уязвимости

GHSA-jhpv-9w3g-h4m8

CVSS3: 4.4

github

больше 3 лет назад

A vulnerability in the BIOS upgrade utility of Cisco Unified Computing System (UCS) C-Series Rack Servers could allow an authenticated, local attacker to install compromised BIOS firmware on an affected device. The vulnerability is due to insufficient validation of the firmware image file. An attacker could exploit this vulnerability by executing the BIOS upgrade utility with a specific set of options. A successful exploit could allow the attacker to bypass the firmware signature-verification process and install compromised BIOS firmware on an affected device.

BDU:2019-02140

CVSS3: 4.4

fstec

больше 6 лет назад

Уязвимость утилиты обновления BIOS микропрограммного обеспечения серверов Cisco UCS серии C, позволяющая нарушителю установить вредоносное микропрограммное обеспечение BIOS на уязвимое устройство

EPSS

Процентиль: 6%

0.00025

Низкий

4.4 Medium

CVSS3

2.1 Low

CVSS2

Дефекты

CWE-345

CWE-345