Vulnerabilidad en Cisco Nexus Dashboard Fabric Controller (CVE-2024-20432)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
02/10/2024
Última modificación:
08/10/2024
Descripción
Una vulnerabilidad en la API REST y la interfaz de usuario web de Cisco Nexus Dashboard Fabric Controller (NDFC) podría permitir que un atacante remoto autenticado y con pocos privilegios realice un ataque de inyección de comandos contra un dispositivo afectado. Esta vulnerabilidad se debe a una autorización de usuario incorrecta y una validación insuficiente de los argumentos de los comandos. Un atacante podría aprovechar esta vulnerabilidad enviando comandos manipulados a un endpoint de la API REST afectada o a través de la interfaz de usuario web. Una explotación exitosa podría permitir que el atacante ejecute comandos arbitrarios en la CLI de un dispositivo administrado por Cisco NDFC con privilegios de administrador de red. Nota: Esta vulnerabilidad no afecta a Cisco NDFC cuando está configurado para la implementación del controlador de red de área de almacenamiento (SAN).
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:nexus_dashboard_fabric_controller:*:*:*:*:*:*:*:* | 12.0.0 (incluyendo) | 12.2.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página