PT-2020-2676 · Cisco · Cisco Ios Xe
Publicado
2020-06-03
·
Atualizado
2020-06-05
·
CVE-2020-3207
CVSS v2.0
7.2
Alta
| Vetor | AV:L/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Software Cisco IOS XE (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade no processamento das opções de inicialização de switches específicos com o software Cisco IOS XE poderia permitir que um invasor local autenticado, com acesso de shell de root ao sistema operacional (SO) subjacente, realizasse um ataque de injeção de comando durante a inicialização do dispositivo. Essa vulnerabilidade se deve a verificações insuficientes de validação de entrada durante o processamento das opções de inicialização. Um invasor poderia explorar essa vulnerabilidade modificando as opções de inicialização do dispositivo para executar código fornecido por ele. Uma exploração bem-sucedida pode permitir que um invasor contorne o processo de inicialização segura (Secure Boot) e execute código malicioso em um dispositivo afetado com privilégios de nível root.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Command Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Ios Xe