📚 Cisco APIC-EM 1.0 Grapevine Update upgrade erweiterte Rechte

🕛 Zeit seit Veröffentlichung: 2809 Tage, 7 Stunden 43 Minuten
📆 Veröffentlicht am: 18.08.2016 um 02:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com

Eine Schwachstelle wurde in Cisco APIC-EM 1.0 entdeckt. Sie wurde als kritisch eingestuft. Dies betrifft eine unbekannte Funktion der Komponente Grapevine Update. Durch Manipulieren des Arguments upgrade mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

The Grapevine update process in Cisco Application Policy Infrastructure Controller Enterprise Module (APIC-EM) 1.0 allows remote authenticated users to execute arbitrary commands as root via a crafted upgrade parameter, aka Bug ID CSCux15507.

Die Schwachstelle wurde am 18.08.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-1365 gehandelt. Das Ausnutzen gilt als leicht. Umgesetzt werden kann der Angriff über das Netzwerk. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Ein Exploit zur Schwachstelle wird momentan etwa USD $10k-$25k kosten.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.