[TLP:CLEAR] Cisco IOS, IOS XE a IMC opravuje 3 zraniteľnosti

Cisco v produktoch IOS, IOS XE a Integrated Management Controller (IMC) opravuje 3 zraniteľnosti. Opravené verzie pre všetky typy postihnutého hardvéru IMC je možné nájsť na [1][2]. Zvyšné opravené verzie je možné získať na [3], kde je na prvej stránke potrebné zadať typ a verziu vášho produktu. Na ďalšej stránke je potrebné zvoliť všetky hodnotenia dopadu a všetky bezpečnostné odporúčania. Na poslednej stránke je potrebné vybrať najvyššiu zo zobrazených opravených verzií a vaše postihnuté zariadenie na ňu aktualizovať.

Cisco IMC - command injection (CVE-2024-20356) CVSS 8.7 (High)

Autentizovanému vzdialenému útočníkovi s právami administrátora je v IMC umožnené pomocou webového rozhrania určeného na manažment spúšťať príkazy v operačnom systéme a získať tak práva root [1].

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 17. 4. 2024.

Cisco IOS + IOS XE - security bypass (CVE-2024-20373) CVSS 5.3 (Medium)

Neautentizovanému vzdialenému útočníkovi je v IOS a IOS XE umožnené neoprávnene pristupovať k informáciám pomocou SNMP protokolu. Pre zneužitie zraniteľnosti je potrebné aby mal útočník validný komunitný reťazec k SNMPv2c alebo prihlasovacie údaje k SNMPv3 [4].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 17. 4. 2024.

Cisco IMC - command injection (CVE-2024-20295) CVSS 8.8 (High)

Autentizovanému lokálnemu útočníkovi s právami na čítanie je v IMC umožnené pomocou rozhrania príkazového riadku spúšťať príkazy v operačnom systéme a získať tak práva root [2].

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 17. 4. 2024.

Publikoval Martin Krajči dňa 18. 4. 2024.

CESNET CERTS Logo