PT-2024-3106 · Cisco · Cisco Integrated Management Controller
Aaron Thacker
·
Publicado
2024-04-17
·
Atualizado
2025-04-08
·
CVE-2024-20356
CVSS v3.1
8.7
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Cisco Integrated Management Controller (IMC) (versões afetadas não especificadas)
Descrição
Existe uma vulnerabilidade na interface de gerenciamento baseada na web do Cisco Integrated Management Controller (IMC) devido à validação insuficiente das entradas do usuário, permitindo que um invasor remoto autenticado com privilégios de administrador execute ataques de injeção de comando em um sistema afetado e eleve seus privilégios para root. Um invasor poderia explorar essa vulnerabilidade enviando comandos maliciosos para a interface de gerenciamento baseada na web do software afetado. Uma exploração bem-sucedida poderia permitir que o invasor elevasse seus privilégios para root. Pesquisadores demonstraram que essa vulnerabilidade pode ser combinada com outras para comprometer totalmente um dispositivo Cisco.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Integrated Management Controller