Prime Infrastructure
Уязвимости
151
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.99999
Распределение по критичности
Критический
15
Высокий
24
Средний
110
Низкий
2
Затронутые диапазоны версий
2.2–3.4.0< 3.10< 3.10.3< 3.10.4< 3.10.6< 3.4< 3.4.1< 3.4.2< 3.8< 3.8.1< 3.9≤ 1.4.0.45≤ 2.1≤ 3.10≤ 3.7≤ 3.7.1≤ 3.9
Также сопоставлено как (исходные строки): fog_director,crosswork_zero_touch_provisioning,prime infrastructure,prime_infrastructure,evolved_programmable_network_manager,crosswork_data_gateway,prime_access_registrar,unified_attendant_console_advanced,unified_contact_center_enterprise,network_level_service,data_center_network_manager,unified_contact_center_enterprise_-_live_data_server
Топ уязвимостей
BDU:2016-01712Уязвимость программного интерфейса программного средства управления жизненным циклом сетей Cisco Prime Infrastructure вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или получить доступ к защищаемой информации с помощью специально сформированного HTTP-запроса
CVE-2019-1821Уязвимость в веб-интерфейсе управления Cisco Prime Infrastructure (PI) и Cisco Evolved Programmable Network (EPN) Manager может позволить прошедшему проверку подлинности удаленному злоумышленнику выполнять код с правами root в базовой операционной системе. Эта уязвимость существует из-за того, что программное обеспечение неправильно проверяет введенные пользователем данные. Злоумышленник может воспользоваться этой уязвимостью, загрузив вредоносный файл в административный веб-интерфейс. Успешная эксплуатация может позволить злоумышленнику выполнять код с правами root в базовой операционной системе.
CVE-2019-15958Уязвимость в REST API Cisco Prime Infrastructure (PI) и Cisco Evolved Programmable Network Manager (EPNM) может позволить неаутентифицированному удаленному злоумышленнику выполнить произвольный код с правами root в базовой операционной системе. Уязвимость связана с недостаточной проверкой входных данных во время начальной настройки высокой доступности (HA) и процесса регистрации уязвимого устройства. Злоумышленник может воспользоваться этой уязвимостью, загрузив вредоносный файл в период регистрации HA. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код с правами root в базовой операционной системе. Примечание: эту уязвимость можно использовать только в период регистрации HA. Дополнительные сведения см. в разделе "Сведения".
CVE-2018-15379Уязвимость, при которой HTTP-веб-сервер для Cisco Prime Infrastructure (PI) имеет неограниченные разрешения каталога, может позволить неаутентифицированному удаленному злоумышленнику загрузить произвольный файл. Этот файл может позволить злоумышленнику выполнять команды на уровне привилегий пользователя prime. У этого пользователя нет прав администратора или root. Уязвимость связана с неправильной настройкой разрешений для важных системных каталогов. Злоумышленник может использовать эту уязвимость, загрузив вредоносный файл с помощью TFTP, к которому можно получить доступ через веб-интерфейс GUI. Успешная эксплуатация может позволить злоумышленнику выполнять команды в целевом приложении без аутентификации.
CVE-2018-0258Уязвимость в сервлете Cisco Prime File Upload, затрагивающая несколько продуктов Cisco, может позволить удаленному злоумышленнику загружать произвольные файлы в любой каталог уязвимого устройства (также известна как Path Traversal) и выполнять эти файлы. Эта уязвимость затрагивает следующие продукты: Cisco Prime Data Center Network Manager (DCNM) версии 10.0 и более поздних, а также Cisco Prime Infrastructure (PI) всех версий. Cisco Bug IDs: CSCvf32411, CSCvf81727.
CVE-2016-1291Cisco Prime Infrastructure 1.2.0 до 2.2(2) и Cisco Evolved Programmable Network Manager (EPNM) 1.2 позволяют удаленным злоумышленникам выполнять произвольный код через специально созданные десериализованные данные в HTTP POST-запросе, он же ошибка CSCuw03192.
CVE-2016-1289API в Cisco Prime Infrastructure 1.2 до 3.0 и Evolved Programmable Network Manager (EPNM) 1.2 позволяет удаленным злоумышленникам выполнять произвольный код или получать конфиденциальную информацию об управлении через специально созданный HTTP-запрос, как продемонстрировано обнаружением учетных данных управляемого устройства, он же ошибка CSCuy10231.
BDU:2019-01917Уязвимость веб-интерфейса администрирования программного средства управления жизненным циклом сетей Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network Manager связана с некорректной проверкой ввода данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с привилегиями root
BDU:2019-01916Уязвимость веб-интерфейса администрирования системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network Manager связана с некорректной проверкой ввода данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с привилегиями root
BDU:2019-01915Уязвимость веб-интерфейса администрирования системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network Manager связана с некорректной проверкой ввода данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с привилегиями root
BDU:2018-01583Уязвимость сервлета загрузки Cisco Prime File Upload системы сетевого управления центром обработки данных Data Center Network Manager (DCNM) и программного средства управления жизненным циклом сетей Prime Infrastructure (PI) вызвана ошибками при указании пути к каталогу и отсуствием ограничений при загрузке файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать произвольные файлы в любой каталог уязвимого устройства и запускать их на исполнение
BDU:2018-01429Уязвимость класса DiskFileItem библиотеки Apache Commons FileUpload связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или осуществить манипулирование файлами в целевой системе с помощью специально сформированных данных
BDU:2016-00958Уязвимость программного средства управления сетевыми сервисами Cisco Evolved Programmable Network Manager и программного средства управления жизненным циклом сетей Cisco Prime Infrastructure существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально сформированных десериализованных данных в HTTP-запросе POST
CVE-2014-0679Cisco Prime Infrastructure 1.2 и 1.3 до 1.3.0.20-2, 1.4 до 1.4.0.45-2 и 2.0 до 2.0.0.0.294-2 позволяет удаленным аутентифицированным пользователям выполнять произвольные команды с привилегиями root посредством неуказанного URL-адреса, также известной как Bug ID CSCum71308.
BDU:2016-01709Уязвимость веб-интерфейса администратора программного средства управления жизненным циклом сетей Cisco Prime Infrastructure существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды при помощи специально сформированных значений поля
CVE-2021-1487Уязвимость в веб-интерфейсе управления Cisco Prime Infrastructure и Evolved Programmable Network (EPN) Manager может позволить прошедшему проверку подлинности удаленному злоумышленнику выполнять произвольные команды в уязвимой системе. Уязвимость связана с недостаточной проверкой введенных пользователем данных в веб-интерфейсе управления. Злоумышленник может воспользоваться этой уязвимостью, отправляя специально созданные HTTP-запросы в интерфейс. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные команды в базовой операционной системе (ОС) с разрешениями специального пользователя, не являющегося root-пользователем. Таким образом, злоумышленник может получить контроль над уязвимой системой, что позволит ему получать и изменять конфиденциальные данные. Злоумышленник также может воздействовать на устройства, управляемые уязвимой системой, путем отправки произвольных файлов конфигурации, получения учетных данных устройств и конфиденциальной информации и, в конечном итоге, подрыва стабильности устройств, вызывая отказ в обслуживании (DoS).
CVE-2016-6443Уязвимость в интерфейсе базы данных Cisco Prime Infrastructure и Evolved Programmable Network Manager SQL может позволить аутентифицированному удаленному злоумышленнику повлиять на конфиденциальность системы, выполнив подмножество произвольных SQL-запросов, которые могут вызвать нестабильность продукта. Дополнительная информация: CSCva27038, CSCva28335. Известные уязвимые версии: 3.1(0.128), 1.2(400), 2.0(1.0.34A).
CVE-2016-1442Административный веб-интерфейс в Cisco Prime Infrastructure (PI) до версии 3.1.1 позволяет удаленным аутентифицированным пользователям выполнять произвольные команды через специально созданные значения полей, также известная как Bug ID CSCuy96280.
CVE-2016-1408Cisco Prime Infrastructure 1.2 до 3.1 и Evolved Programmable Network Manager (EPNM) 1.2 и 2.0 позволяют удаленным аутентифицированным пользователям выполнять произвольные команды или загружать файлы через специально созданный HTTP-запрос, также известное как Bug ID CSCuz01488.
CVE-2016-1406Веб-интерфейс API в Cisco Prime Infrastructure до версии 3.1 и Cisco Evolved Programmable Network Manager до версии 1.2.4 позволяет удаленным аутентифицированным пользователям обходить предполагаемые ограничения RBAC и получать конфиденциальную информацию и, следовательно, получать привилегии через специально созданные данные JSON, также известное как Bug ID CSCuy12409.
CVE-2016-1359Cisco Prime Infrastructure 3.0 позволяет удаленным аутентифицированным пользователям выполнять произвольный код через специально созданный HTTP-запрос, который неправильно обрабатывается во время просмотра файла журнала, также известная как Bug ID CSCuw81494.
BDU:2021-02958Уязвимость библиотеки Apache Commons Collections и программных продуктов Cisco связана с восстановлением в памяти недостоверных структур данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2021-02696Уязвимость веб-интерфейса администрирования системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network (EPN) Manager связана с внедрением или модификацией аргумента. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды
CVE-2019-1825Уязвимость в веб-интерфейсе управления Cisco Prime Infrastructure (PI) и Cisco Evolved Programmable Network (EPN) Manager может позволить прошедшему проверку подлинности удаленному злоумышленнику выполнять произвольные SQL-запросы. Эта уязвимость существует из-за того, что программное обеспечение неправильно проверяет введенные пользователем данные в SQL-запросах. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный HTTP-запрос, содержащий вредоносные SQL-операторы, в затронутое приложение. Успешная эксплуатация может позволить злоумышленнику просматривать или изменять записи в некоторых таблицах базы данных, что повлияет на целостность данных.
CVE-2019-1824Уязвимость в веб-интерфейсе управления Cisco Prime Infrastructure (PI) и Cisco Evolved Programmable Network (EPN) Manager может позволить прошедшему проверку подлинности удаленному злоумышленнику выполнять произвольные SQL-запросы. Эта уязвимость существует из-за того, что программное обеспечение неправильно проверяет введенные пользователем данные в SQL-запросах. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный HTTP-запрос, содержащий вредоносные SQL-операторы, в затронутое приложение. Успешная эксплуатация может позволить злоумышленнику просматривать или изменять записи в некоторых таблицах базы данных, что повлияет на целостность данных.