Cisco Integrated Management Controller (IMC) – wiele wersji i platform
Numer CVE
CVE-2024-20295
Krytyczność
8.8/10
CVSS
AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis
Luka w interfejsie CLI kontrolera Cisco Integrated Management Controller (IMC) może pozwolić uwierzytelnionemu, lokalnemu atakującemu na wykonanie ataków polegających na wstrzykiwaniu poleceń na podstawowy system operacyjny i podniesienie uprawnień do uprawnień roota. Aby wykorzystać tę lukę, osoba atakująca musi mieć uprawnienia tylko do odczytu lub wyższe na urządzeniu, którego dotyczy luka. Przyczyną tej luki jest niewystarczająca weryfikacja danych wprowadzonych przez użytkownika. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane polecenie CLI. Udany exploit może pozwolić atakującemu na podniesienie uprawnień do uprawnień roota.
Numer CVE
CVE-2024-20356
Krytyczność
8.7/10
CVSS
AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
Opis
Luka w internetowym interfejsie zarządzania Cisco Integrated Management Controller (IMC) może pozwolić uwierzytelnionemu, zdalnemu atakującemu z uprawnieniami na poziomie administratora na wykonanie ataków typu „wstrzykiwanie poleceń” na zagrożony system i podniesienie jego uprawnień do uprawnień roota. Przyczyną tej luki jest niewystarczająca weryfikacja danych wejściowych użytkownika. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane polecenia do internetowego interfejsu zarządzania zagrożonego oprogramowania. Udany exploit może umożliwić atakującemu podniesienie uprawnień do poziomu root.