Skip to main content

Cisco sistema eta produktuetan, zorroztasun kritiko eta altuko 3 kalteberatasun identifikatu dira. Horien ustiapenak urruneko erasoak ahalbidetzen ditu, autentifikatuak zein kautotu gabeak. Kalteberatasun horiek interfaze eta zerbitzu ugariri eragiten diete, eta arriskuan jartzen dute haien osotasuna, konfidentzialtasuna eta erabilgarritasuna.

Kaltetutako baliabideak

  • Catalyst IW9165D Heavy Duty Access Points
  • Catalyst IW9165E Rugged Access Points eta Wireless Clients
  • Catalyst IW9167E Heavy Duty Access Points
  • Cisco NDFC 12.1.2 eta 12.1.3 bertsioak
  • Cisco Enterprise Chat eta Email (ECE) EAAS gaituta duela

Analisia teknikoa

  • CVE-2024-20418: Cisco Ultra-Reliable Wireless Backhaul (URWB) sarbide puntuetarako Cisco Unified Industrial Wireless softwarearen web oinarritutako kudeaketa-interfazean ahultasun bat dago, urruneko erasotzaile batek autentifikatu gabe komandoak injektatzeko erasoak egitea ahalbidetuz, root pribilegioekin oinarrizko sistema eragilean.
  • CWE-77
  • CVSS: Oinarria 10.0 kritikoa
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Eraso bektorea: Sarea
    • Konplexutasuna: Baxua
    • Beharrezko Pribilegioak: Ez dago
    • Erabiltzailearen Interakzioa: Ez dago
    • Eragina: Aldaketak daude
    • Konfidentzialtasuna: Handia
    • Osotasuna: Handia
    • Eskuragarritasuna: Handia
  • Ustiaketa: Detektatu gabe
  • CVE-2024-20536: Cisco Nexus Dashboard Fabric Controller (NDFC)-ko REST API amaierako puntuan eta web oinarritutako kudeaketa-interfazean ahultasun bat dago, urruneko erasotzaile batek irakurketa bakarreko pribilegioekin SQL komando arbitrarioak exekutatzea ahalbidetuz gailu batean.
  • CWE-89
  • CVSS: 8.8
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Eraso bektorea: Sarea
    • Konplexutasuna: Baxua
    • Beharrezko Pribilegioak: Baxuak
    • Erabiltzailearen Interakzioa: Ez dago
    • Eragina: Aldaketarik gabe
    • Konfidentzialtasuna: Handia
    • Osotasuna: Handia
    • Eskuragarritasuna: Handia
  • Ustiaketa: Detektatu gabe
  • CVE-2024-20484: Cisco Enterprise Chat and Email-en (ECE) kanpoko agenteak esleitzeko zerbitzuaren (EAAS) funtzioaren urruneko erasotzaile kautotu gabe batek zerbitzua ukatzeko baldintza (DoS) sor dezake kaltetutako gailu batean.
  • CWE-20
  • CVSS: Oinarria 7.5
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Eraso bektorea: Sarea
    • Konplexutasuna: Baxua
    • Beharrezko Pribilegioak: Ez dago
    • Erabiltzailearen Interakzioa: Ez dago
    • Eragina: Aldaketarik gabe
    • Konfidentzialtasuna: Handia
    • Osotasuna: Handia
    • Eskuragarritasuna: Handia
  • Ustiaketa: Detektatu gabe

Arintzea / Konponbidea

Cisco-k software eguneratzeak kaleratu ditu ahultasun hauek konpontzeko. Ez dago beste irtenbide alternatiborik erabilgarri.

Erreferentzia gehigarriak