Cisco informuje o nowych podatnościach. (P24-130)

cert.pse-online.pl 8 miesięcy temu
ProduktCisco Integrated Management Controller (IMC) – wiele wersji i platform
Numer CVECVE-2024-20295
Krytyczność8.8/10
CVSSAV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
OpisLuka w interfejsie CLI kontrolera Cisco Integrated Management Controller (IMC) może pozwolić uwierzytelnionemu, lokalnemu atakującemu na wykonanie ataków polegających na wstrzykiwaniu poleceń na podstawowy system operacyjny i podniesienie uprawnień do uprawnień roota. Aby wykorzystać tę lukę, osoba atakująca musi mieć uprawnienia tylko do odczytu lub wyższe na urządzeniu, którego dotyczy luka. Przyczyną tej luki jest niewystarczająca weryfikacja danych wprowadzonych przez użytkownika. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane polecenie CLI. Udany exploit może pozwolić atakującemu na podniesienie uprawnień do uprawnień roota.
Numer CVECVE-2024-20356
Krytyczność8.7/10
CVSSAV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
OpisLuka w internetowym interfejsie zarządzania Cisco Integrated Management Controller (IMC) może pozwolić uwierzytelnionemu, zdalnemu atakującemu z uprawnieniami na poziomie administratora na wykonanie ataków typu „wstrzykiwanie poleceń” na zagrożony system i podniesienie jego uprawnień do uprawnień roota. Przyczyną tej luki jest niewystarczająca weryfikacja danych wejściowych użytkownika. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane polecenia do internetowego interfejsu zarządzania zagrożonego oprogramowania. Udany exploit może umożliwić atakującemu podniesienie uprawnień do poziomu root.
AktualizacjaTAK
Linkhttps://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-mUx4c5AJ https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-bLuPcb
Idź do oryginalnego materiału