CVE-2024-20420

A vulnerability in the web-based management interface of Cisco ATA 190 Series Analog Telephone Adapter firmware could allow an authenticated, remote attacker with low privileges to run commands as an Admin user. This vulnerability is due to incorrect authorization verification by the HTTP server. An attacker could exploit this vulnerability by sending a malicious request to the web-based management interface. A successful exploit could allow the attacker to run commands as the Admin user.
Configurations

Configuration 1 (hide)

AND
cpe:2.3:o:cisco:ata_191_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:cisco:ata_191:-:*:*:*:on-premises:*:*:*

Configuration 2 (hide)

AND
cpe:2.3:o:cisco:ata_191_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:cisco:ata_191:-:*:*:*:multiplatform:*:*:*

Configuration 3 (hide)

AND
cpe:2.3:o:cisco:ata_192_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:cisco:ata_192:-:*:*:*:multiplatform:*:*:*

History

31 Oct 2024, 14:35

Type Values Removed Values Added
CWE CWE-863

22 Oct 2024, 15:12

Type Values Removed Values Added
CVSS v2 : unknown
v3 : 5.4
v2 : unknown
v3 : 8.8
CPE cpe:2.3:o:cisco:ata_191_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:cisco:ata_192:-:*:*:*:multiplatform:*:*:*
cpe:2.3:h:cisco:ata_191:-:*:*:*:multiplatform:*:*:*
cpe:2.3:h:cisco:ata_191:-:*:*:*:on-premises:*:*:*
cpe:2.3:o:cisco:ata_192_firmware:*:*:*:*:*:*:*:*
References () https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ata19x-multi-RDTEqRsy - () https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ata19x-multi-RDTEqRsy - Vendor Advisory
First Time Cisco
Cisco ata 192
Cisco ata 192 Firmware
Cisco ata 191
Cisco ata 191 Firmware
CWE NVD-CWE-Other

18 Oct 2024, 12:53

Type Values Removed Values Added
Summary
  • (es) Una vulnerabilidad en la interfaz de administración basada en web del firmware del adaptador telefónico analógico Cisco ATA serie 190 podría permitir que un atacante remoto autenticado con privilegios bajos ejecute comandos como usuario administrador. Esta vulnerabilidad se debe a una verificación de autorización incorrecta por parte del servidor HTTP. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud maliciosa a la interfaz de administración basada en web. Una explotación exitosa podría permitir que el atacante ejecute comandos como usuario administrador.

16 Oct 2024, 17:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-10-16 17:15

Updated : 2024-10-31 14:35


NVD link : CVE-2024-20420

Mitre link : CVE-2024-20420

CVE.ORG link : CVE-2024-20420


JSON object : View

Products Affected

cisco

  • ata_192
  • ata_192_firmware
  • ata_191
  • ata_191_firmware
CWE
NVD-CWE-Other CWE-250

Execution with Unnecessary Privileges

CWE-863

Incorrect Authorization