CVE-2018-0147
CVE-2018-0147
Em resumo
O Cisco Secure ACS anterior à versão 5.8 patch 9 tem um falha crítica na forma como processa dados Java da internet. Um atacante pode enviar dados especialmente construídos para executar qualquer comando no sistema com controle total, sem precisar de senha.
Detalhe técnico
Desserialização insegura de Java no Cisco ACS permite execução remota de código sem autenticação através de objetos serializados manipulados. A vulnerabilidade afeta versões anteriores à 5.8 patch 9 e permite que atacantes executem comandos arbitrários com privilégios root no dispositivo afetado.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability in Java deserialization used by Cisco Secure Access Control System (ACS) prior to release 5.8 patch 9 could allow an unauthenticated, remote attacker to execute arbitrary commands on an affected device. The vulnerability is due to insecure deserialization of user-supplied content by the affected software. An attacker could exploit this vulnerability by sending a crafted serialized Java object. An exploit could allow the attacker to execute arbitrary commands on the device with root privileges. Cisco Bug IDs: CSCvh25988.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · Cisco Secure Access Control SystemQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →