Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:S/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Cisco IOS XE
(03.07.00.E, 03.07.01.E, 03.07.02.E, 03.07.03.E, 03.07.04.E, 03.07.05.E)
Описание
Уязвимость в графическом веб-интерфейсе контроллера беспроводных сетей Cisco IOS XE для контроллеров беспроводных локальных сетей Cisco 5760, коммутаторов Cisco Catalyst 4500E Supervisor Engine 8-E (беспроводных) и Cisco NGWC 3850 позволяет злоумышленникам, действующим удаленно и прошедшим аутентификацию, повысить уровень своих привилегий на уязвимом устройстве. Уязвимость связана с неполной проверкой графическим интерфейсом входных данных HTTP-запросов, если состояние или протокол подключения к интерфейсу меняется. Для эксплуатации уязвимости злоумышленник может подключиться к интерфейсу контроллера беспроводных сетей, используя учетные данные администратора Lobby, и изменить состояние или протокол своего подключения к интерфейсу. Успешная эксплуатация позволяет злоумышленнику повысить уровень своих привилегий до административного и получить полный контроль над устройством.
Как исправить
Используйте рекомендации производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-ngwc
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-ngwc
Ссылки
Источник: CVE
Наименование: CVE-2017-12226
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12226
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-ngwc
Наименование: CVE-2017-12226
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12226
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-ngwc