Vulnerabilidad en Cisco IOS XE (CVE-2024-20434)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-190 Desbordamiento o ajuste de enteros

Fecha de publicación:

25/09/2024

Última modificación:

08/10/2024

Descripción

Una vulnerabilidad en el software Cisco IOS XE podría permitir que un atacante adyacente no autenticado provoque una condición de denegación de servicio (DoS) en el plano de control de un dispositivo afectado. Esta vulnerabilidad se debe a un manejo inadecuado de tramas con información de etiqueta VLAN. Un atacante podría aprovechar esta vulnerabilidad enviando tramas manipuladas a un dispositivo afectado. Una explotación exitosa podría permitir al atacante dejar inoperante el plano de control del dispositivo afectado. El dispositivo no sería accesible a través de la consola o la CLI, y no respondería a las solicitudes de ping, solicitudes SNMP o solicitudes de otros protocolos del plano de control. El tráfico que atraviesa el dispositivo a través del plano de datos no se ve afectado. Se requiere una recarga del dispositivo para restaurar los servicios del plano de control.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

4.30

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:cisco:ios_xe:16.6.1:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.2:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.3:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.4:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.4a:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.5:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.6:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.7:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.8:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.9:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.10:::::::*
cpe:2.3:o:cisco:ios_xe:16.7.1:::::::*
cpe:2.3:o:cisco:ios_xe:16.8.1:::::::*
cpe:2.3:o:cisco:ios_xe:16.8.1a:::::::*
cpe:2.3:o:cisco:ios_xe:16.8.1s:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vlan-dos-27Pur5RT

CPE	Desde	Hasta
cpe:2.3:o:cisco:ios_xe:16.6.1:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.2:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.3:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.4:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.4a:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.5:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.6:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.7:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.8:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.9:::::::*
cpe:2.3:o:cisco:ios_xe:16.6.10:::::::*
cpe:2.3:o:cisco:ios_xe:16.7.1:::::::*
cpe:2.3:o:cisco:ios_xe:16.8.1:::::::*
cpe:2.3:o:cisco:ios_xe:16.8.1a:::::::*
cpe:2.3:o:cisco:ios_xe:16.8.1s:::::::*