Successful exploitation of this vulnerability may allow for the execution of commands on the device at any privilege level, up to and including privilege level 15. El éxito de la explotación de esta vulnerabilidad puede permitir la ejecución de comandos en el dispositivo en cualquier nivel de privilegio, hasta e incluyendo el nivel de privilegio 15. Accessing the device at privilege level 15 would enable total control of the device, including but not limited to device configuration changes and device reloading. Accediendo a los dispositivos a nivel de privilegio 15 permitiría un control total del dispositivo, incluyendo pero no limitado a cambios en la configuración del dispositivo y del dispositivo de recarga.

The Cisco Router Web Setup tool (CRWS) provides a Web interface for configuring Cisco SOHO and Cisco 800 series routers which allows users to set up their routers. El router Cisco herramienta de configuración Web (CRWS) proporciona una interfaz Web para la configuración de SOHO de Cisco y Cisco 800 series de routers que permite a los usuarios crear sus routers. The GUI is accessed through the Cisco IOS HTTP server, which is enabled on the default IOS configuration shipped with the CRWS application. La GUI se accede a través del Cisco IOS servidor HTTP, que está habilitado por defecto en la configuración de IOS que vienen con la aplicación CRWS.

The Cisco IOS HTTP server uses the enable password (assuming one has been configured) as its default authentication mechanism. El Cisco IOS HTTP utiliza el servidor permitirá contraseña (suponiendo que uno de ellos se ha configurado) como su mecanismo de autenticación por defecto. Other authentication mechanisms can be configured, including the use of a local user database, an external RADIUS (Remote Authentication Dial In User Service) or an external TACACS+ (Terminal Access Controller Access Control System) server. Otros mecanismos de autenticación se puede configurar, incluida la utilización de una base de datos de usuarios locales, externo RADIUS (Remote Dial de autenticación de usuario de servicios) o externo TACACS + (Terminal Access Controller Access Control System) del servidor. The default IOS configuration shipped with the CRWS application does not include an enable password or an enable secret command, allowing access to the Cisco IOS HTTP server interface at any privilege level, up to and including privilege level 15, without providing authentication credentials. El valor por defecto de configuración de IOS que vienen con el CRWS solicitud no permita incluir una contraseña o permitir que un comando secreto, que permite el acceso a Cisco IOS interfaz HTTP del servidor en cualquier nivel de privilegio, hasta e incluyendo el nivel de privilegio 15, sin proporcionar las credenciales de autenticación. Privilege level 15 is the highest privilege level on Cisco IOS devices. Privilegio nivel 15 es el más alto nivel de privilegio en dispositivos Cisco IOS.

Use the Utilice el flowchart diagrama de flujo to determine if you are vulnerable. para determinar si son vulnerables.
Bug ID Bug ID