PT-2021-1674 · Cisco · Cisco Anyconnect Secure Mobility Client
Michael Henry
·
Publicado
2021-01-13
·
Atualizado
2022-07-25
·
CVE-2021-1258
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Cisco AnyConnect Secure Mobility Client (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade no componente de atualização poderia permitir que um invasor local autenticado, com privilégios limitados, lesse arquivos arbitrários no sistema operacional subjacente de um dispositivo afetado. O problema se deve a restrições insuficientes de permissão de arquivos. Um invasor poderia explorar essa vulnerabilidade enviando um comando malicioso da CLI local para o aplicativo, permitindo-lhe ler arquivos arbitrários no sistema operacional subjacente. O invasor precisaria de credenciais de usuário válidas para explorar essa vulnerabilidade.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Anyconnect Secure Mobility Client