Расширенный

Выполнение произвольного кода

Выполнение произвольного кода

30 Июля 2020
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:S/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Cisco IOS XE (16.06.01, 16.06.04, 16.06.04a, 16.06.04s, 16.06.05, 16.06.05a, 16.06.05b, 16.06.06, 16.06.07, 16.06.07a, 16.07.01, 16.07.01a, 16.07.01b, 16.07.02, 16.07.04, 16.08.01, 16.08.01a, 16.08.01b, 16.08.01c, 16.08.01d, 16.08.01e, 16.08.01s, 16.08.02, 16.08.03, 16.09.01, 16.09.01a, 16.09.01b, 16.09.01c, 16.09.01d, 16.09.01s, 16.09.02, 16.09.02a, 16.09.02s, 16.09.03, 16.09.03a, 16.09.03h, 16.09.03s, 16.09.04, 16.09.04c, 16.10.01, 16.10.01a, 16.10.01b, 16.10.01c, 16.10.01d, 16.10.01e, 16.10.01f, 16.10.01g, 16.10.01s, 16.10.02, 16.11.01, 16.11.01a, 16.11.01b, 16.11.01c, 16.11.01s, 16.12.01y, 17.01.01)
Описание
Уязвимость в веб-интерфейсе Cisco IOS XE, связанная с некорректной проверкой входных данных, позволяет злоумышленникам с правами администратора, прошедшим аутентификацию и действующим удаленно, выполнить произвольный код с правами суперпользователя или обойти лицензионные ограничения устройства, создав сначала вредоносный файл на устройстве, а затем загрузив на него еще один вредоносный файл.
Как исправить
Используйте рекомендации производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-rce-uk8BXcUD
Ссылки
Источни: CVE
Наименование: CVE-2020-3218
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3218