📚 Cisco APIC-EM 1.0 Grapevine Update upgrade erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in Cisco APIC-EM 1.0 entdeckt. Sie wurde als kritisch eingestuft. Dies betrifft eine unbekannte Funktion der Komponente Grapevine Update. Durch Manipulieren des Arguments upgrade
mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
The Grapevine update process in Cisco Application Policy Infrastructure Controller Enterprise Module (APIC-EM) 1.0 allows remote authenticated users to execute arbitrary commands as root via a crafted upgrade parameter, aka Bug ID CSCux15507.
Die Schwachstelle wurde am 18.08.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-1365 gehandelt. Das Ausnutzen gilt als leicht. Umgesetzt werden kann der Angriff über das Netzwerk. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Ein Exploit zur Schwachstelle wird momentan etwa USD $10k-$25k kosten.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSSv3
Base Score: 8.8 [?]Temp Score: 8.8 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 9.0 (CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C) [?]Temp Score: 9.0 (CVSS2#E:ND/RL:ND/RC:ND) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Timeline
18.08.2016 Advisory veröffentlicht19.08.2016 VulDB Eintrag erstellt
19.08.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-1365 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 19.08.2016Eintrag: 70.7% komplett
...