PT-2020-2684 · Cisco · Cisco Ios Xe Web Management+1
Publicado
2020-06-03
·
Atualizado
2020-06-09
·
CVE-2020-3229
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Software de gerenciamento web Cisco IOS XE (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade na funcionalidade de Controle de Acesso Baseado em Função (RBAC) poderia permitir que um invasor remoto autenticado com permissão de leitura executasse comandos ou alterações de configuração como um usuário administrador. O problema se deve ao tratamento incorreto do RBAC na interface gráfica de administração. Um invasor poderia explorar essa vulnerabilidade enviando uma solicitação HTTP modificada ao dispositivo afetado, permitindo potencialmente que um usuário com acesso somente leitura execute comandos da CLI ou alterações de configuração como se fosse um usuário administrador.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Ios Xe Web Management
Cisco Ios Xe