PT-2021-3651 · Cisco · Cisco Firepower Device Manager On-Box
Mikhail Klyuchnikov
+1
·
Publicado
2021-07-21
·
Atualizado
2021-08-03
·
CVE-2021-1518
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Software Cisco Firepower Device Manager On-Box (versões afetadas não especificadas)
Descrição
O problema está relacionado à API REST do software Cisco Firepower Device Manager On-Box, onde a sanitização insuficiente das entradas do usuário em comandos específicos da API REST poderia permitir que um invasor remoto autenticado executasse código arbitrário no sistema operacional subjacente de um dispositivo afetado. Um invasor poderia explorar essa vulnerabilidade enviando uma solicitação HTTP maliciosa ao subsistema da API. Para explorar a vulnerabilidade, o invasor precisaria de credenciais válidas de usuário com privilégios limitados.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Firepower Device Manager On-Box