Informazioni sul CVE-2024-20319
N/A
CWE ID: CWE-284
Base Score (CVSS): N/A
CVE: CVE-2024-20319
Descrizione: Una vulnerabilità nel codice di forwarding UDP della software Cisco IOS XR può permettere a un attaccante non autenticato e adiacente di aggirare le politiche di protezione di gestione configurate e accedere al server SNMP di un dispositivo compromesso. Questa vulnerabilità è dovuta a un programma di forwarding UDP errato quando si utilizza SNMP con protezione di gestione, un attaccante potrebbe sfruttare questa vulnerabilità cercando di eseguire un’operazione SNMP utilizzando l’indirizzo di destinazione broadcast che potrebbe essere elaborato da un dispositivo configurato con un server SNMP. Un’exploit riuscito potrebbe consentire all’attaccante di comunicare con il dispositivo sui porti SNMP configurati. Sebbene un attaccante non autenticato possa inviare datagrammi UDP all’indirizzo SNMP configurato, solo un utente autenticato può recuperare o modificare i dati utilizzando richieste SNMP.
Vettore di attacco CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Adjacent Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | A | Adjacent Network | L’attacco richiede accesso a una rete locale condivisa. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-uhv6ZDeF
Prodotti interessati
- Cisco – Cisco IOS XR Software
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco IOS XR Software
Anno: 2024
CWE: CWE-284
CVSS: 0.0