Vulnerabilidad en Ericsson RAN Compute and Site Controller 6610 (CVE-2024-25008)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

16/08/2024

Última modificación:

19/08/2024

Descripción

Ericsson RAN Compute and Site Controller 6610 contiene una vulnerabilidad en el sistema de control donde la validación de entrada incorrecta puede provocar la ejecución de código arbitrario, por ejemplo, para obtener un shell de Linux con los mismos privilegios que el atacante. El atacante necesitaría privilegios elevados, por ejemplo, un usuario de OAM válido que tenga el rol de administrador del sistema para explotar la vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.80

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://www.ericsson.com/en/about-us/security/psirt/security-bulletin-ericsson-ran-compute-august-2024