Vulnerabilidad en Cisco IOS XR (CVE-2023-20190)
Severidad:
MEDIA
Type:
No Disponible / Otro tipo
Fecha de publicación:
13/09/2023
Última modificación:
25/01/2024
Descripción
Una vulnerabilidad en la característica de compresión de la clásica lista de control de acceso (ACL) del software Cisco IOS XR podría permitir que un atacante remoto no autenticado evite la protección que ofrece una ACL configurada en un dispositivo afectado. Esta vulnerabilidad se debe a una codificación incorrecta del rango de direcciones de destino en el módulo de compresión de una ACL que se aplica a una interfaz de un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad enviando tráfico a través del dispositivo afectado que la ACL configurada debería denegar. Una explotación existosa exitoso podría permitir al atacante eludir las protecciones ACL configuradas en el dispositivo afectado, permitiéndole acceder a redes confiables que el dispositivo podría estar protegiendo. Existen workarounds que abordan esta vulnerabilidad. Este aviso es parte de la publicación de septiembre de 2023 del paquete de avisos de seguridad del software Cisco IOS XR.
Impacto
Puntuación base 3.x
5.30
Severidad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ios_xr:*:*:*:*:*:*:*:* | 7.3.5 (excluyendo) | |
| cpe:2.3:o:cisco:ios_xr:*:*:*:*:*:*:*:* | 7.5 (incluyendo) | 7.5.4 (excluyendo) |
| cpe:2.3:o:cisco:ios_xr:*:*:*:*:*:*:*:* | 7.6 (incluyendo) | 7.8.2 (excluyendo) |
| cpe:2.3:o:cisco:ios_xr:7.9:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página