CVE

Vulnerabilidad en Cisco Identity Services Engine (CVE-2024-20296)

Severidad:
MEDIA
Type:
CWE-434 Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
17/07/2024
Última modificación:
18/07/2024

Descripción

Una vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) podría permitir que un atacante remoto autenticado cargue archivos arbitrarios en un dispositivo afectado. Para aprovechar esta vulnerabilidad, un atacante necesitaría al menos credenciales válidas de administrador de políticas en el dispositivo afectado. Esta vulnerabilidad se debe a una validación inadecuada de los archivos que se cargan en la interfaz de administración basada en web. Un atacante podría aprovechar esta vulnerabilidad cargando archivos arbitrarios en un dispositivo afectado. Un exploit exitoso podría permitir al atacante almacenar archivos maliciosos en el sistema, ejecutar comandos arbitrarios en el sistema operativo y elevar privilegios a root.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.70 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x
4.70
Severidad 3.x
MEDIA

Referencias a soluciones, herramientas e información