Cisco Prime Home の Web ベースの GUI における認証を回避される脆弱性
| Title |
Cisco Prime Home の Web ベースの GUI における認証を回避される脆弱性
|
| Summary |
Cisco Prime Home の Web ベースの GUI は、URL のロールベースアクセス制御 (RBAC) のプロセスエラーに関する処理に不備があるため、認証を回避され、管理者権限でアクションを実行される脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCvb49837 として公開しています。
|
| Possible impacts |
攻撃者により、認証なしで特定の URL への HTTP を介して API コマンドを送信されることで、認証を回避され、管理者権限でアクションを実行される可能性があります。 |
| Solution |
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
Feb. 1, 2017, midnight |
| Registration Date |
Feb. 10, 2017, 3:18 p.m. |
| Last Update |
Feb. 10, 2017, 3:18 p.m. |
|
CVSS3.0 : 緊急
|
| Score |
10
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
|
CVSS2.0 : 危険
|
| Score |
10
|
| Vector |
AV:N/AC:L/Au:N/C:C/I:C/A:C |
Affected System
| シスコシステムズ |
|
Cisco Prime Home 6.4.0.0
|
|
Cisco Prime Home 6.4.1.0
|
|
Cisco Prime Home 6.4.2.0
|
|
Cisco Prime Home 6.4.2.1
|
|
Cisco Prime Home 6.3.0.0
|
|
Cisco Prime Home 6.3.1.0
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2017年02月10日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2017-3791
| Summary |
A vulnerability in the web-based GUI of Cisco Prime Home could allow an unauthenticated, remote attacker to bypass authentication and execute actions with administrator privileges. The vulnerability is due to a processing error in the role-based access control (RBAC) of URLs. An attacker could exploit this vulnerability by sending API commands via HTTP to a particular URL without prior authentication. An exploit could allow the attacker to perform any actions in Cisco Prime Home with administrator privileges. This vulnerability affects Cisco Prime Home versions from 6.3.0.0 to the first fixed release 6.5.0.1. Cisco has released software updates that address this vulnerability. There are no workarounds that address this vulnerability. Cisco Bug IDs: CSCvb49837.
|
| Publication Date |
Feb. 2, 2017, 4:59 a.m. |
| Registration Date |
Jan. 26, 2021, 1:23 p.m. |
| Last Update |
Nov. 21, 2024, 12:26 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cisco:cisco_prime_home:6.3.0.0:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:cisco:cisco_prime_home:6.4.2.0:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:cisco:cisco_prime_home:6.4.1.0:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:cisco:cisco_prime_home:6.4.2.1:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:cisco:cisco_prime_home:6.4.0.0:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:cisco:cisco_prime_home:6.3.1.0:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List