Vulnerability Name: | CVE-2021-1383 (CCN-198692) |
Assigned: | 2020-11-13 |
Published: | 2021-03-24 |
Updated: | 2022-09-20 |
Summary: | Multiple vulnerabilities in the CLI of Cisco IOS XE SD-WAN Software could allow an authenticated, local attacker to access the underlying operating system with root privileges. These vulnerabilities are due to insufficient input validation of certain CLI commands. An attacker could exploit these vulnerabilities by authenticating to the device and submitting crafted input to the CLI. The attacker must be authenticated as an administrative user to execute the affected commands. A successful exploit could allow the attacker to access the underlying operating system with root privileges.
|
CVSS v3 Severity: | 6.7 Medium (CVSS v3.1 Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H) 5.8 Medium (Temporal CVSS v3.1 Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C)Exploitability Metrics: | Attack Vector (AV): Local Attack Complexity (AC): Low Privileges Required (PR): High User Interaction (UI): None | Scope: | Scope (S): Unchanged
| Impact Metrics: | Confidentiality (C): High Integrity (I): High Availibility (A): High | 6.0 Medium (CCN CVSS v3.1 Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N) 5.2 Medium (CCN Temporal CVSS v3.1 Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C)Exploitability Metrics: | Attack Vector (AV): Local Attack Complexity (AC): Low Privileges Required (PR): High User Interaction (UI): None | Scope: | Scope (S): Unchanged
| Impact Metrics: | Confidentiality (C): High Integrity (I): High Availibility (A): None |
|
CVSS v2 Severity: | 7.2 High (CVSS v2 Vector: AV:L/AC:L/Au:N/C:C/I:C/A:C)Exploitability Metrics: | Access Vector (AV): Local Access Complexity (AC): Low Authentication (Au): None | Impact Metrics: | Confidentiality (C): Complete Integrity (I): Complete Availibility (A): Complete | 6.2 Medium (CCN CVSS v2 Vector: AV:L/AC:L/Au:S/C:C/I:C/A:N)Exploitability Metrics: | Access Vector (AV): Local Access Complexity (AC): Low Athentication (Au): Single_Instance
| Impact Metrics: | Confidentiality (C): Complete Integrity (I): Complete Availibility (A): None |
|
Vulnerability Type: | CWE-88
|
Vulnerability Consequences: | Gain Privileges |
References: | Source: MITRE Type: CNA CVE-2021-1383
Source: XF Type: UNKNOWN cisco-cve20211383-priv-esc(198692)
Source: MISC Type: Exploit, Third Party Advisory https://github.com/orangecertcc/security-research/security/advisories/GHSA-vw54-f9mw-g46r
Source: CCN Type: Cisco Security Advisory cisco-sa-xesdwpinj-V4weeqzU Cisco IOS XE SD-WAN Software Parameter Injection Vulnerabilities
Source: CISCO Type: Vendor Advisory 20210324 Cisco IOS XE SD-WAN Software Parameter Injection Vulnerabilities
|
Vulnerable Configuration: | Configuration 1: cpe:/o:cisco:ios_xe:16.9.1:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.10.1:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.9.2:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.1:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.11.1:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.1.1:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.11.1a:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.1c:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.1t:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.11.2:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.1a:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.1s:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.9.3:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.10.1a:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.10.1b:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.10.1d:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.10.1e:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.10.1f:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.10.1g:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.10.1s:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.10.2:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.11.1b:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.11.1c:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.11.1s:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.1w:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.1x:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.1y:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.10.1c:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.9.4:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.10.3:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.1z:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.1za:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.2:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.2a:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.2s:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.2t:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.3:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.3a:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.3s:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.4:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.4a:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.1.1a:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.1.1s:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.1.1t:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.1.2:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.1.3:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.2.1:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.2.1a:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.2.1r:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.2.1v:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.2.2:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.3.1:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.3.1a:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.3.1w:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.3.1x:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.3.2:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.3.2a:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.4.1:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:17.4.1a:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe_sd-wan:*:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.1z1:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.5:*:*:*:*:*:*:*OR cpe:/o:cisco:ios_xe:16.12.5b:*:*:*:*:*:*:* Configuration CCN 1: cpe:/o:cisco:ios_xe_software:*:*:*:*:*:*:*:* Denotes that component is vulnerable |
BACK |