Cisco IOS XE Web UI jogosultság kiterjesztés sérülékenysége
Angol cím: Cisco IOS XE Web UI priviledge escalation vulnerability
Publikálás dátuma: 2023.10.22.
Utolsó módosítás dátuma: 2023.10.23.
Leírás
Nem megfelelő jogosultságkezelés: A termék nem megfelelően osztja ki, módosítja, követi, vagy ellenőrzi a felhasználói fiókokhoz tartozó jogosultságokat.
Leírás forrása: CWE-269Elemzés leírás
A sérülékenység a rendszerhez történő hozzáférés esetén ─ például a korábban publkált CVE-2023-20198 sebezhetőség kihasználásával ─ lehetőséget ad jogosultság-kiterjesztésre, root felhasználói fiók létrehozásával.
Elemzés leírás forrása: CVE-2023-20273Hatás
CVSS3 Súlyosság és Metrika
Base score: 7.2 (Magas)
Vector: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 1.2
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): High
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
Sérülékeny szoftverek
Cisco IOS XE Software (amennyiben web UI feature aktiválva van)
17.9 (17.9.4a verzióig)
17.6 (17.6.6a verzióig)
17.3 (17.3.8a verzióig)
16.12 (16.12.10a verióig - csak Catalyst 3650 és 3850)