Informazioni sul CVE-2020-3530

Cisco IOS XR Authenticated User Privilege Escalation Vulnerability

CWE ID: CWE-264

Base Score (CVSS): N/A

CVE: CVE-2020-3530

Descrizione: A vulnerability in task group assignment for a specific CLI command in Cisco IOS XR Software could allow an authenticated, local attacker to execute that command, even though administrative privileges should be required. The attacker must have valid credentials on the affected device. The vulnerability is due to incorrect mapping in the source code of task group assignments for a specific command. An attacker could exploit this vulnerability by issuing the command, which they should not be authorized to issue, on an affected device. A successful exploit could allow the attacker to invalidate the integrity of the disk and cause the device to restart. This vulnerability could allow a user with read permissions to issue a specific command that should require Administrator privileges.

Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 8.4 (High)

Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: None, Confidenzialità: None, Integrità: High, Disponibilità: High.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	L	Local	L’attaccante deve avere accesso locale al sistema.
Attack Complexity (AC)	L	Low	L’attacco non richiede condizioni particolari.
Privileges Required (PR)	L	Low	Richiede pochi privilegi.
User Interaction (UI)	N	None	Non è richiesta interazione dell’utente.
Scope (S)	C	Changed	La vulnerabilità impatta su componenti esterni.
Confidentiality Impact (C)	N	None	Nessun impatto sulla riservatezza.
Integrity Impact (I)	H	High	Grave impatto sull’integrità.
Availability Impact (A)	H	High	Rende il sistema inutilizzabile.

Riferimenti esterni

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-cli-privescl-sDVEmhqv

Prodotti interessati

Cisco – Cisco IOS XR Software

Relazioni con altri prodotti

Produttore:Cisco
Prodotto: Cisco IOS XR Software
Anno: 2020
CWE: CWE-264
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2020)