Vulnerabilidad en Cisco Data Center Network Manager (CVE-2020-3538)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
18/11/2024
Última modificación:
06/08/2025
Descripción
Una vulnerabilidad en un determinado punto final de la API REST del software Cisco Data Center Network Manager (DCNM) podría permitir que un atacante remoto autenticado realice un ataque de path traversal en un dispositivo afectado. La vulnerabilidad se debe a una aplicación insuficiente de las restricciones de ruta. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP manipuladas a un dispositivo afectado. Una explotación exitosa podría permitir al atacante sobrescribir o enumerar archivos arbitrarios en el dispositivo afectado. Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.
Impacto
Puntuación base 3.x
4.60
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:data_center_network_manager:*:*:*:*:*:*:*:* | 11.4\(1\) (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dcnm-authbypass-YVJzqgk2
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dcnm-pa-trav-bMdfSTTq
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-tls-dos-xW53TBhb