Vulnerabilidad en Cisco Meraki Systems Manager (CVE-2024-20430)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-427
Elemento no controlado en la ruta de búsqueda
Fecha de publicación:
12/09/2024
Última modificación:
18/09/2024
Descripción
Una vulnerabilidad en Cisco Meraki Systems Manager (SM) Agent para Windows podría permitir que un atacante local autenticado ejecute código arbitrario con privilegios elevados. Esta vulnerabilidad se debe a un manejo incorrecto de las rutas de búsqueda de directorios en tiempo de ejecución. Un atacante con pocos privilegios podría aprovechar esta vulnerabilidad colocando archivos de configuración y archivos DLL maliciosos en un sistema afectado, que leería y ejecutaría los archivos cuando Cisco Meraki SM se inicie. Una explotación exitosa podría permitir que el atacante ejecute código arbitrario en el sistema afectado con privilegios de SYSTEM.
Impacto
Puntuación base 3.x
7.30
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:cisco:meraki_systems_manager:*:*:*:*:*:windows:*:* | 1.0.98 (incluyendo) | 4.2.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página