Vulnerabilidad en Cisco Nexus Dashboard Fabric Controller (CVE-2024-20448)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-312 Almacenamiento de información sensible en texto claro

Fecha de publicación:

02/10/2024

Última modificación:

08/10/2024

Descripción

Una vulnerabilidad en el software Cisco Nexus Dashboard Fabric Controller (NDFC), anteriormente Cisco Data Center Network Manager (DCNM), podría permitir que un atacante con acceso a un archivo de copia de seguridad vea información confidencial. Esta vulnerabilidad se debe al almacenamiento inadecuado de información confidencial en archivos de copia de seguridad completa y de solo configuración. Un atacante podría aprovechar esta vulnerabilidad al analizar el contenido de un archivo de copia de seguridad que se genera desde un dispositivo afectado. Una explotación exitosa podría permitir al atacante acceder a información confidencial, incluidas las credenciales del dispositivo conectado a NDFC, la clave privada del administrador del sitio de NDFC y la clave de cifrado del archivo de copia de seguridad programada.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.60

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:cisco:nexus_dashboard_fabric_controller::::::::		12.2.2 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-cidv-XvyX2wLj