Cisco Network Assurance Engine sérülékenység


2019. február 15. 11:01

CH azonosító

CH-14543

Angol cím

Cisco Network Assurance Engine CLI Access with Default Password Vulnerability

Felfedezés dátuma

2019.02.12.

Súlyosság

Magas

Érintett rendszerek

CISCO

Érintett verziók

Cisco Network Assurance Engine 3.0(1)

Összefoglaló

A Cisco Network Assurance Engine (NAE) magas kockázati besorolású sérülékenysége vált ismertté, mely lehetőséget biztosít a helyi, nem autentikált támadó számára, hogy jogtalanul hozzáférést szerezzen, vagy túlterhelje a célszervert.

Leírás

A sérülékenység a NAE jelszókezelő rendszerének hibájából ered. A támadó úgy tudja kihasználni ezt a hibát, ha bejelentkezik az alapértelmezett adminisztrátor jelszóval a CLI-n (Command Line Interface) keresztül az érintett szerverre. A támadás sikeres végrehajtását követően a támadó érzékeny adatokhoz férhet hozzá, vagy túlterhelheti a célszervert, amely elérhetetlenné válik a támadást követően.

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Privilege escalation (jogosultság kiterjesztés)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: tools.cisco.com
CVE-2019-1688 - NVD CVE-2019-1688

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »