Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ejecución de comandos en Cisco Nexus Dashboard Fabric Controller

Fecha de publicación 03/10/2024
Identificador
INCIBE-2024-0489
Importancia
5 - Crítica
Recursos Afectados

Esta vulnerabilidad afecta a Cisco NDFC versión 12.0, excepto si este esta configurado para el despliegue con el controlador SAN.

Descripción

Cisco ha publicado una vulnerabilidad crítica que afecta a su producto Cisco Nexus Dashboard Fabric Controller (NDFC), cuya explotación podría permitir la ejecución de comandos con privilegios de administrador de red.

Solución

Cisco ha publicado actualizaciones de software que corrigen esta vulnerabilidad, concretamente la versión 12.2.2. Es posible descargarla para los clientes con contrato de servicio desde su canal corriente.

Detalle

Debido a una autorización de usuario inadecuada y a una validación insuficiente de los argumentos de los comandos, un atacante podría explotar esta vulnerabilidad mediante el envío de comandos manipulados a un punto final REST API afectado o a través de la interfaz de usuario web. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios en la CLI de un dispositivo administrado por Cisco NDFC con privilegios de administrador de red.

Se ha asignado el identificador CVE-2024-20432 para esta vulnerabilidad.