Идентификатор: BDU:2022-07466.
Наименование уязвимости: Уязвимость интерфейса командной строки микропрограммного обеспечения маршрутизаторов Cisco SD-WAN vBond Orchestrator, Cisco SD-WAN vEdge Cloud Routers, Cisco SD-WAN vEdge Routers, Cisco SD-WAN vSmart Controller, централизованной системой управления сетью Cisco SD-WAN vManage, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю создать или перезаписать критически важные файлы.
Описание уязвимости: Уязвимость интерфейса командной строки микропрограммного обеспечения маршрутизаторов Cisco SD-WAN vBond Orchestrator, Cisco SD-WAN vEdge Cloud Routers, Cisco SD-WAN vEdge Routers, Cisco SD-WAN vSmart Controller, централизованной системой управления сетью Cisco SD-WAN vManage связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю создать или перезаписать критически важные файлы от имени пользователя root
Уязвимое ПО: Микропрограммный код аппаратных компонент компьютера Cisco Systems Inc. SD-WAN vManage Software от 20.6 до 20.6.3 | Микропрограммный код аппаратных компонент компьютера Cisco Systems Inc. SD-WAN vManage Software от 20.7 до 20.7.2 | ПО сетевого программно-аппаратного средства Cisco Systems Inc. SD-WAN vBond Orchestrator Software от 20.7 до 20.7.2 | ПО сетевого программно-аппаратного средства Cisco Systems Inc. SD-WAN vBond Orchestrator Software 20.8 | Микропрограммный код аппаратных компонент компьютера Cisco Systems Inc. SD-WAN vManage Software 20.8 | Прикладное ПО информационных систем Cisco Systems Inc. SD-WAN vSmart Controller Software 20.6 до 20.6.3 | Прикладное ПО информационных систем Cisco Systems Inc. SD-WAN vSmart Controller Software от 20.7 до 20.7.2 | Прикладное ПО информационных систем Cisco Systems Inc. SD-WAN vSmart Controller Software 20.8 | ПО сетевого программно-аппаратного средства Cisco Systems Inc. SD-WAN vBond Orchestrator Software от 20.6 до 20.6.3 | Cisco Systems Inc. SD-WAN vEdge Cloud от 20.6 до 20.6.3 | Cisco Systems Inc. SD-WAN vEdge Cloud от 20.7 до 20.7.2 | Cisco Systems Inc. SD-WAN vEdge Cloud 20.8 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 28.09.2022.
CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению:
Использование рекомендаций производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sd-wan-priv-E6e8tEdF.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-20775.
Тип ошибки CWE: CWE-22
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/CVE-2022-20775
https://github.com/orangecertcc/security-research/security/advisories/GHSA-wmjv-552v-pxjc
