Prime Infrastructure
Vulnerabilities
151
Known exploited
1
Max CVSS
10
Top EPSS
0.99999
Severity breakdown
Critical
15
High
24
Medium
110
Low
2
Affected version ranges
2.2–3.4.0< 3.10< 3.10.3< 3.10.4< 3.10.6< 3.4< 3.4.1< 3.4.2< 3.8< 3.8.1< 3.9≤ 1.4.0.45≤ 2.1≤ 3.10≤ 3.7≤ 3.7.1≤ 3.9
Also matched as (raw): unified_attendant_console_advanced,unified_contact_center_enterprise,unified_contact_center_enterprise_-_live_data_server,prime infrastructure,prime_infrastructure,data_center_network_manager,prime_access_registrar,fog_director,crosswork_zero_touch_provisioning,prime_cable_provisioning,evolved_programmable_network_manager,crosswork_data_gateway
Top vulnerabilities
BDU:2016-01712Уязвимость программного интерфейса программного средства управления жизненным циклом сетей Cisco Prime Infrastructure вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или получить доступ к защищаемой информации с помощью специально сформированного HTTP-запроса
CVE-2019-1821A vulnerability in the web-based management interface of Cisco Prime Infrastructure (PI) and Cisco Evolved Programmable Network (EPN) Manager could allow an authenticated, remote attacker to execute code with root-level privileges on the underlying operating system. This vulnerability exist because the software improperly validates user-supplied input. An attacker could exploit this vulnerability by uploading a malicious file to the administrative web interface. A successful exploit could allow the attacker to execute code with root-level privileges on the underlying operating system.
CVE-2019-15958A vulnerability in the REST API of Cisco Prime Infrastructure (PI) and Cisco Evolved Programmable Network Manager (EPNM) could allow an unauthenticated remote attacker to execute arbitrary code with root privileges on the underlying operating system. The vulnerability is due to insufficient input validation during the initial High Availability (HA) configuration and registration process of an affected device. An attacker could exploit this vulnerability by uploading a malicious file during the HA registration period. A successful exploit could allow the attacker to execute arbitrary code with root-level privileges on the underlying operating system. Note: This vulnerability can only be exploited during the HA registration period. See the Details section for more information.
CVE-2018-15379A vulnerability in which the HTTP web server for Cisco Prime Infrastructure (PI) has unrestricted directory permissions could allow an unauthenticated, remote attacker to upload an arbitrary file. This file could allow the attacker to execute commands at the privilege level of the user prime. This user does not have administrative or root privileges. The vulnerability is due to an incorrect permission setting for important system directories. An attacker could exploit this vulnerability by uploading a malicious file by using TFTP, which can be accessed via the web-interface GUI. A successful exploit could allow the attacker to run commands on the targeted application without authentication.
CVE-2018-0258A vulnerability in the Cisco Prime File Upload servlet affecting multiple Cisco products could allow a remote attacker to upload arbitrary files to any directory of a vulnerable device (aka Path Traversal) and execute those files. This vulnerability affects the following products: Cisco Prime Data Center Network Manager (DCNM) Version 10.0 and later, and Cisco Prime Infrastructure (PI) All versions. Cisco Bug IDs: CSCvf32411, CSCvf81727.
CVE-2016-1291Cisco Prime Infrastructure 1.2.0 through 2.2(2) and Cisco Evolved Programmable Network Manager (EPNM) 1.2 allow remote attackers to execute arbitrary code via crafted deserialized data in an HTTP POST request, aka Bug ID CSCuw03192.
CVE-2016-1289The API in Cisco Prime Infrastructure 1.2 through 3.0 and Evolved Programmable Network Manager (EPNM) 1.2 allows remote attackers to execute arbitrary code or obtain sensitive management information via a crafted HTTP request, as demonstrated by discovering managed-device credentials, aka Bug ID CSCuy10231.
BDU:2019-01917Уязвимость веб-интерфейса администрирования программного средства управления жизненным циклом сетей Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network Manager связана с некорректной проверкой ввода данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с привилегиями root
BDU:2019-01916Уязвимость веб-интерфейса администрирования системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network Manager связана с некорректной проверкой ввода данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с привилегиями root
BDU:2019-01915Уязвимость веб-интерфейса администрирования системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network Manager связана с некорректной проверкой ввода данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с привилегиями root
BDU:2018-01583Уязвимость сервлета загрузки Cisco Prime File Upload системы сетевого управления центром обработки данных Data Center Network Manager (DCNM) и программного средства управления жизненным циклом сетей Prime Infrastructure (PI) вызвана ошибками при указании пути к каталогу и отсуствием ограничений при загрузке файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать произвольные файлы в любой каталог уязвимого устройства и запускать их на исполнение
BDU:2018-01429Уязвимость класса DiskFileItem библиотеки Apache Commons FileUpload связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или осуществить манипулирование файлами в целевой системе с помощью специально сформированных данных
BDU:2016-00958Уязвимость программного средства управления сетевыми сервисами Cisco Evolved Programmable Network Manager и программного средства управления жизненным циклом сетей Cisco Prime Infrastructure существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально сформированных десериализованных данных в HTTP-запросе POST
CVE-2014-0679Cisco Prime Infrastructure 1.2 and 1.3 before 1.3.0.20-2, 1.4 before 1.4.0.45-2, and 2.0 before 2.0.0.0.294-2 allows remote authenticated users to execute arbitrary commands with root privileges via an unspecified URL, aka Bug ID CSCum71308.
BDU:2016-01709Уязвимость веб-интерфейса администратора программного средства управления жизненным циклом сетей Cisco Prime Infrastructure существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды при помощи специально сформированных значений поля
CVE-2021-1487A vulnerability in the web-based management interface of Cisco Prime Infrastructure and Evolved Programmable Network (EPN) Manager could allow an authenticated, remote attacker to execute arbitrary commands on an affected system. The vulnerability is due to insufficient validation of user-supplied input to the web-based management interface. An attacker could exploit this vulnerability by sending crafted HTTP requests to the interface. A successful exploit could allow the attacker to execute arbitrary commands on the underlying operating system (OS) with the permissions of a special non-root user. In this way, an attacker could take control of the affected system, which would allow them to obtain and alter sensitive data. The attacker could also affect the devices that are managed by the affected system by pushing arbitrary configuration files, retrieving device credentials and confidential information, and ultimately undermining the stability of the devices, causing a denial of service (DoS) condition.
CVE-2016-6443A vulnerability in the Cisco Prime Infrastructure and Evolved Programmable Network Manager SQL database interface could allow an authenticated, remote attacker to impact system confidentiality by executing a subset of arbitrary SQL queries that can cause product instability. More Information: CSCva27038, CSCva28335. Known Affected Releases: 3.1(0.128), 1.2(400), 2.0(1.0.34A).
CVE-2016-1442The administrative web interface in Cisco Prime Infrastructure (PI) before 3.1.1 allows remote authenticated users to execute arbitrary commands via crafted field values, aka Bug ID CSCuy96280.
CVE-2016-1408Cisco Prime Infrastructure 1.2 through 3.1 and Evolved Programmable Network Manager (EPNM) 1.2 and 2.0 allow remote authenticated users to execute arbitrary commands or upload files via a crafted HTTP request, aka Bug ID CSCuz01488.
CVE-2016-1406The API web interface in Cisco Prime Infrastructure before 3.1 and Cisco Evolved Programmable Network Manager before 1.2.4 allows remote authenticated users to bypass intended RBAC restrictions and obtain sensitive information, and consequently gain privileges, via crafted JSON data, aka Bug ID CSCuy12409.
CVE-2016-1359Cisco Prime Infrastructure 3.0 allows remote authenticated users to execute arbitrary code via a crafted HTTP request that is mishandled during viewing of a log file, aka Bug ID CSCuw81494.
BDU:2021-02958Уязвимость библиотеки Apache Commons Collections и программных продуктов Cisco связана с восстановлением в памяти недостоверных структур данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2021-02696Уязвимость веб-интерфейса администрирования системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network (EPN) Manager связана с внедрением или модификацией аргумента. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды
CVE-2019-1825A vulnerability in the web-based management interface of Cisco Prime Infrastructure (PI) and Cisco Evolved Programmable Network (EPN) Manager could allow an authenticated, remote attacker to execute arbitrary SQL queries. This vulnerability exist because the software improperly validates user-supplied input in SQL queries. An attacker could exploit this vulnerability by sending a crafted HTTP request that contains malicious SQL statements to the affected application. A successful exploit could allow the attacker to view or modify entries in some database tables, affecting the integrity of the data.
CVE-2019-1824A vulnerability in the web-based management interface of Cisco Prime Infrastructure (PI) and Cisco Evolved Programmable Network (EPN) Manager could allow an authenticated, remote attacker to execute arbitrary SQL queries. This vulnerability exist because the software improperly validates user-supplied input in SQL queries. An attacker could exploit this vulnerability by sending a crafted HTTP request that contains malicious SQL statements to the affected application. A successful exploit could allow the attacker to view or modify entries in some database tables, affecting the integrity of the data.