Уязвимость в CLI конфигурации Unified Threat Defense (UTD) Cisco IOS XE Software может позволить аутентифицированному локальному злоумышлен…
Уязвимость в CLI конфигурации Unified Threat Defense (UTD) Cisco IOS XE Software может позволить аутентифицированному локальному злоумышленнику выполнять произвольные команды от имени root в базовой операционной системе хоста. Чтобы воспользоваться этой уязвимостью, злоумышленник должен иметь привилегии уровня 15 на уязвимом устройстве. Эта уязвимость связана с недостаточной проверкой входных данных. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданную команду CLI на уязвимое устройство. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные команды от имени root в базовой операционной системе.
Продукт некорректно обрабатывает ситуацию, когда ожидаемое количество параметров, полей или аргументов не предоставлено во входных данных, либо когда эти параметры не определены.
https://cwe.mitre.org/data/definitions/233.html →Открыть в коллекции CWE →В обстоятельствах, когда приложение хранит важные данные на стороне клиента в токенах (cookie-файлах, URL, файлах данных и т. п.), этими данными можно манипулировать. Если клиентские или серверные компоненты приложения повторно интерпретируют эти данные как токены аутентификации или данные (например, цены на товары в магазине или информацию о кошельке), то даже непрозрачная манипуляция этими данными может принести результат злоумышленнику. В данном шаблоне злоумышленник подрывает допущение о том, что клиентские токены были надлежащим образом защищены от подделки с помощью шифрования или запутывания.
https://capec.mitre.org/data/definitions/39.html →Открыть в коллекции CAPEC →