Vulnerabilidad en Cisco AnyConnect Secure Mobility Client (CVE-2012-2495)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
20/06/2012
Última modificación:
21/06/2012
Descripción
La implementación de HostScan en Cisco AnyConnect Secure Mobility Client v3.x antes de v3.0 MR8 y Cisco Secure Desktop antes de v3.6.6020 no compara la marca de tiempo del software ofrecido con la marca de tiempo del software instalado, lo que permite forzar una rebaja de la versión a atacantes remotos mediante el uso de componentes (1) ActiveX o (2) Java para ofrecer código firmado que corresponde a una versión anterior del software. Se trata de un prblema también conocido como Bug ID CSCtx74235.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:anyconnect_secure_mobility_client:3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:secure_desktop:*:*:*:*:*:*:*:* | 3.5.2008 (incluyendo) | |
| cpe:2.3:a:cisco:secure_desktop:3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:secure_desktop:3.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:secure_desktop:3.1.1.27:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:secure_desktop:3.1.1.33:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:secure_desktop:3.1.1.45:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:secure_desktop:3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:secure_desktop:3.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:secure_desktop:3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:secure_desktop:3.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:secure_desktop:3.4.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:secure_desktop:3.4.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:secure_desktop:3.4.2048:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:secure_desktop:3.5:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página