Vulnerability Details

ID: CVE-2014-0648

Last Modified: Aug. 29, 2017

Open in new window

Description

The RMI interface in Cisco Secure Access Control System (ACS) 5.x before 5.5 does not properly enforce authentication and authorization requirements, which allows remote attackers to obtain administrative access via a request to this interface, aka Bug ID CSCud75187.

CVSS V2

Access Vector: Network

Access Complexity: Low

Authentication: None

Confidentiality Impact: Complete

Integrity Impact: Complete

Availability Impact: Complete

Base Score: 10.0

Exploitability Score: 10.0

Impact Score: 10.0

CVSS V2: AV:N/AC:L/Au:N/C:C/I:C/A:C

Specialize CVSS-Score

CWE-ID

CWE-264

Configuration

Condition		Configuration
OR
OR
	cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.1:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.3.0.40.1	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.7:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.3.0.40.7	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.9:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.3.0.40.9	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.2:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.3.0.40.2	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.4.0.46.3:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.4.0.46.3	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.4.0.46.2:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.4.0.46.2	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.4.0.46.4:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.4.0.46.4	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.6:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.3.0.40.6	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.5:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.3.0.40.5	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.2:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.2	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.4.0.46.5:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.4.0.46.5	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:::::::: Part: a Product: secure_access_control_system Vendor: cisco Version end including: 5.4.0.46.6	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.8:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.3.0.40.8	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.1.0.44.5:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.1.0.44.5	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.4.0.46.1:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.4.0.46.1	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.4:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.3.0.40.4	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.1.0.44.1:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.1.0.44.1	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.1.0.44.2:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.1.0.44.2	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.2.0.26.2:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.2.0.26.2	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.1.0.44.3:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.1.0.44.3	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.1.0.44.4:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.1.0.44.4	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.3:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.3.0.40.3	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.1:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.1	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.1.0.44:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.1.0.44	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.2.0.26:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.2.0.26	Alle Schwachstellen für cisco
	cpe:2.3:a:cisco:secure_access_control_system:5.2.0.26.1:::::::* Part: a Product: secure_access_control_system Vendor: cisco Version: 5.2.0.26.1	Alle Schwachstellen für cisco

Pre-Condition

                    <?xml version="1.0" ?>
<set operator="and">
    <set operator="or">
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.1:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.7:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.9:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.2:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.4.0.46.3:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.4.0.46.2:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.4.0.46.4:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.6:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.5:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.2:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.4.0.46.5:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:*:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.8:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.1.0.44.5:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.4.0.46.1:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.4:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.1.0.44.1:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.1.0.44.2:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.2.0.26.2:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.1.0.44.3:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.1.0.44.4:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.3.0.40.3:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.1:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.1.0.44:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.2.0.26:*:*:*:*:*:*:*"/>
        <prop key="application" value="cpe:2.3:a:cisco:secure_access_control_system:5.2.0.26.1:*:*:*:*:*:*:*"/>
    </set>
    <prop key="program_influence" value="input"/>
    <prop key="range" value="remote"/>
</set>

Post-Condition

                      <?xml version="1.0" ?>
<set operator="and">
    <prop key="target" value="host"/>
    <set operator="or">
        <prop key="program_influence" value="input"/>
        <prop key="program_influence" value="output"/>
        <prop key="program_influence" value="existence"/>
    </set>
    <prop key="data" value="any"/>
    <set operator="or">
        <prop key="data_influence" value="read"/>
        <prop key="data_influence" value="write"/>
        <prop key="data_influence" value="delete"/>
    </set>
    <set operator="or">
        <prop key="range" value="remote"/>
        <prop key="range" value="local"/>
    </set>
</set>