Cisco IOS AAA WEB_EXEC parancs hitelesítés megkerülési sérülékenység


2012. március 30. 07:05

CH azonosító

CH-6625

Angol cím

Cisco IOS AAA WEB_EXEC Command Authorisation Security Bypass Vulnerability

Felfedezés dátuma

2012.03.28.

Súlyosság

Alacsony

Érintett rendszerek

CISCO
IOS
IOS R12
IOS XE

Érintett verziók

Cisco IOS 12.x, 15.0, 15.1, 15.2
Cisco IOS R12.x
Cisco IOS XE 3.1.x, 3.2.x, 3.3.x, 3.4.x, 3.5.x, 2.1.x, 2.2.x, 2.3.x, 2.4.x, 2.5.x, 2.6.x

Összefoglaló

A Cisco IOS egy sérülékenységét jelentették, amelyet kihasználva a felhasználók megkerülhetnek bizonyos biztonsági szabályokat.

Leírás

A sérülékenységet az autentikációs, hitelesítés és fiók kezelési modul (AAA – authentication, authorization, and accounting) egy hibája okozza, ami a parancs hitelesítés közben történik, és amit kihasználva meg lehet kerülni az AAA-t, így bármilyen Cisco IOS parancsot végre lehet hajtani, amit a felhasználó jogosultsági szintje megenged.

A sérülékenység sikeres kihasználásához szükséges a HTTP vagy HTTPS szerver és a WEB_EXEC session modul engedélyezése.

Olvassa el a gyártó tájékoztatóját az érintett termékek listájáról.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: tools.cisco.com
CVE-2012-0384 - NVD CVE-2012-0384
SECUNIA 48614
SECUNIA 48636

Legfrissebb sérülékenységek
CVE-2025-48633 – Android Framework Information Disclosure sérülékenysége
CVE-2025-48572 – Android Framework Privilege Escalation sérülékenysége
CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység
CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység
CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység
CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység
CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység
CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység
CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
Tovább a sérülékenységekhez »