Cisco ASA és FTD sérülékenysége
Angol cím: Cisco ASA és FTD vulnerability
Publikálás dátuma: 2024.04.24.
Utolsó módosítás dátuma: 2024.04.24.
Leírás
A program nem, vagy helytelenül semlegesíti azokat az elemeket a bemenetből, melyek módosíthatják a tervezett operációs rendszer parancsot, amikor azt a következő komponensnek küldi.
Leírás forrása: CWE-78Elemzés leírás
Eredeti nyelven: A vulnerability in the Cisco Adaptive Security Appliance (ASA) restore functionality that is available in Cisco ASA Software and Cisco Firepower Threat Defense (FTD) Software could allow an authenticated, local attacker to execute arbitrary commands on the underlying operating system with root-level privileges. Administrator-level privileges are required to exploit this vulnerability. This vulnerability exists because the contents of a backup file are improperly sanitized at restore time. An attacker could exploit this vulnerability by restoring a crafted backup file to an affected device. A successful exploit could allow the attacker to execute arbitrary commands on the underlying Linux operating system as root.
Elemzés leírás forrása: CVE-2024-20358Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 6.0 (Közepes)
Vector: AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Impact Score: 5.2
Exploitability Score: 0.8
Attack Vector (AV): Local
Attack Complexity (AC): Low
Privileges Required (PR): High
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): None
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
Cisco Adaptive Security Appliance (ASA): before 9.20.2.10
Cisco Firepower Threat Defense (FTD): before 9.20.2.10