Vulnerabilidad en Cisco NX-OS System Software (CVE-2017-12340)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

30/11/2017

Última modificación:

20/04/2025

Descripción

Una vulnerabilidad en Cisco NX-OS System Software que se ejecute en Cisco MDS Multilayer Director Switches, Cisco Nexus 7000 Series Switches y Cisco Nexus 7700 Series Switches podría permitir que un atacante local autenticado acceda al shell Bash del sistema operativo de un dispositivo afectado, incluso si el shell Bash está deshabilitado en el sistema. La vulnerabilidad se debe a la sanitización insuficiente de parámetros proporcionados por el usuario que se pasan a algunas funciones del sandbox de scripting de Python del dispositivo afectado. Un atacante podría explotar esta vulnerabilidad para escapar la sandbox de scripting y ejecutar el shell Bash del sistema operativo con los privilegios del usuario autenticado para el sistema afectado. Para explotar esta vulnerabilidad, el atacante debe tener acceso local al sistema afectado y estar autenticado en el sistema afectado con privilegios de administrador o de ejecución de Python. Cisco Bug IDs: CSCvd86513.

Impacto

Vector 3.x

CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.20 MEDIA
Vector: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

4.20

Gravedad 3.x

MEDIA

Vector 2.0

AV:L/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.60 MEDIA
Vector: AV:L/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico