ios_xr 安全漏洞 (CVE-2023-20236)

CVE编号

CVE-2023-20236

利用情况

暂无

补丁情况

N/A

披露时间

2022-10-27
漏洞描述
A vulnerability in the iPXE boot function of Cisco IOS XR software could allow an authenticated, local attacker to install an unverified software image on an affected device. This vulnerability is due to insufficient image verification. An attacker could exploit this vulnerability by manipulating the boot parameters for image verification during the iPXE boot process on an affected device. A successful exploit could allow the attacker to boot an unverified software image on the affected device.


解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 cisco ios_xr * Up to
(excluding)
7.10.1
运行在以下环境
硬件 cisco 8201 - -
运行在以下环境
硬件 cisco 8202 - -
运行在以下环境
硬件 cisco 8208 - -
运行在以下环境
硬件 cisco 8212 - -
运行在以下环境
硬件 cisco 8218 - -
运行在以下环境
硬件 cisco 8804 - -
运行在以下环境
硬件 cisco 8808 - -
运行在以下环境
硬件 cisco 8812 - -
运行在以下环境
硬件 cisco 8818 - -
运行在以下环境
硬件 cisco 8831 - -
运行在以下环境
硬件 cisco asr_9000 - -
运行在以下环境
硬件 cisco asr_9000v - -
运行在以下环境
硬件 cisco asr_9001 - -
运行在以下环境
硬件 cisco asr_9006 - -
运行在以下环境
硬件 cisco asr_9010 - -
运行在以下环境
硬件 cisco asr_9901 - -
运行在以下环境
硬件 cisco asr_9902 - -
运行在以下环境
硬件 cisco asr_9903 - -
运行在以下环境
硬件 cisco asr_9904 - -
运行在以下环境
硬件 cisco asr_9906 - -
运行在以下环境
硬件 cisco asr_9910 - -
运行在以下环境
硬件 cisco asr_9912 - -
运行在以下环境
硬件 cisco asr_9920 - -
运行在以下环境
硬件 cisco asr_9922 - -
运行在以下环境
硬件 cisco ncs_1001 - -
运行在以下环境
硬件 cisco ncs_1002 - -
运行在以下环境
硬件 cisco ncs_1004 - -
运行在以下环境
硬件 cisco ncs_4009 - -
运行在以下环境
硬件 cisco ncs_4016 - -
运行在以下环境
硬件 cisco ncs_4201 - -
运行在以下环境
硬件 cisco ncs_4202 - -
运行在以下环境
硬件 cisco ncs_4206 - -
运行在以下环境
硬件 cisco ncs_4216 - -
运行在以下环境
硬件 cisco ncs_5001 - -
运行在以下环境
硬件 cisco ncs_5002 - -
运行在以下环境
硬件 cisco ncs_5011 - -
运行在以下环境
硬件 cisco ncs_540 - -
运行在以下环境
硬件 cisco ncs_5500 - -
运行在以下环境
硬件 cisco ncs_5501 - -
运行在以下环境
硬件 cisco ncs_5501 se -
运行在以下环境
硬件 cisco ncs_5502 - -
运行在以下环境
硬件 cisco ncs_5502 se -
运行在以下环境
硬件 cisco ncs_5504 - -
运行在以下环境
硬件 cisco ncs_5508 - -
运行在以下环境
硬件 cisco ncs_5516 - -
运行在以下环境
硬件 cisco ncs_560 - -
运行在以下环境
硬件 cisco ncs_560-4 - -
运行在以下环境
硬件 cisco ncs_560-7 - -
运行在以下环境
硬件 cisco ncs_57b1-5dse-sys - -
运行在以下环境
硬件 cisco ncs_57b1-6d24-sys - -
运行在以下环境
硬件 cisco ncs_57c1-48q6-sys - -
运行在以下环境
硬件 cisco ncs_57c3-mod-sys - -
运行在以下环境
硬件 cisco ncs_57c3-mods-sys - -
CVSS3评分
7.8
  • 攻击路径
    本地
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-ID 漏洞类型
CWE-345 对数据真实性的验证不充分
阿里云安全产品覆盖情况