Vigil@nce - Cisco Prime Infrastructure : élévation de privilèges via API
juillet 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer un bloc de données JSON et l’envoyer à
API de Cisco Prime Infrastructure, afin d’élever ses privilèges.
Produits concernés : Prime Infrastructure.
Gravité : 2/4.
Date création : 24/05/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Cisco Prime Infrastructure dispose d’une API.
Cependant, la base de rôle RBAC est mal implémentée et donc un
attaquant distant authentifié peut créer un JSON Payload pour
obtenir des informations sensibles et les droits root .
Un attaquant peut donc créer un bloc de données JSON et
l’envoyer à API de Cisco Prime Infrastructure, afin d’élever ses
privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Cisco-Prime-Infrastructure-elevation-de-privileges-via-API-19686