Vulnerabilidad en Cisco UCS Central Software (CVE-2024-20280)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-321 Uso de claves de cifrado embebidas en el software

Fecha de publicación:

16/10/2024

Última modificación:

18/06/2025

Descripción

Una vulnerabilidad en la función de copia de seguridad de Cisco UCS Central Software podría permitir que un atacante con acceso a un archivo de copia de seguridad obtenga información confidencial almacenada en los archivos de copia de seguridad de estado completo y de configuración. Esta vulnerabilidad se debe a una debilidad en el método de cifrado que se utiliza para la función de copia de seguridad. Un atacante podría explotar esta vulnerabilidad accediendo a un archivo de copia de seguridad y aprovechando una clave estática que se utiliza para la función de configuración de copia de seguridad. Una explotación exitosa podría permitir que un atacante con acceso a un archivo de copia de seguridad obtenga información confidencial que se almacena en los archivos de copia de seguridad de estado completo y los archivos de copia de seguridad de configuración, como credenciales de usuario local, contraseñas de servidor de autenticación, nombres de comunidad de Protocolo simple de administración de red (SNMP) y el certificado y la clave del servidor SSL del dispositivo.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.30 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.30

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:cisco:ucs_central_software:1.0\(1a\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.1\(1a\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.1\(1b\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.1\(2a\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.2\(1a\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.2\(1d\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.2\(1e\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.2\(1f\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.3\(1a\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.3\(1b\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.3\(1c\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.4\(1a\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.4\(1b\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.4\(1c\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.5\(1a\):::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucsc-bkpsky-TgJ5f73J

CPE	Desde	Hasta
cpe:2.3:a:cisco:ucs_central_software:1.0\(1a\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.1\(1a\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.1\(1b\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.1\(2a\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.2\(1a\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.2\(1d\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.2\(1e\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.2\(1f\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.3\(1a\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.3\(1b\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.3\(1c\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.4\(1a\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.4\(1b\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.4\(1c\):::::::*
cpe:2.3:a:cisco:ucs_central_software:1.5\(1a\):::::::*