Vulnerabilidad en Cisco NX-OS System Software (CVE-2017-12351)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-264 Permisos, privilegios y/o control de acceso

Fecha de publicación:

30/11/2017

Última modificación:

20/04/2025

Descripción

Una vulnerabilidad en la característica de shell invitado de Cisco NX-OS System Software podría permitir que un atacante local autenticado lea y envíe paquetes fuera del rango del contenedor del shell invitado. Un atacante necesitaría credenciales de administrador válidas para realizar el ataque. La vulnerabilidad se debe a la insuficiencia de medidas internas de seguridad en la característica de shell invitado. Un atacante podría explotar esta vulnerabilidad enviando o recibiendo paquetes en la red interna del dispositivo fuera del contenedor del shell invitado. Esto también se conoce como "Unauthorized Internal Interface Access". Esta vulnerabilidad afecta a los siguientes productos que ejecutan Cisco NX-OS System Software: Nexus 3000 Series Switches, Nexus 9000 Series Switches en modo NX-OS independiente, Nexus 9500 R-Series Line Cards and Fabric Modules. Cisco Bug IDs: CSCvf33038.

Impacto

Vector 3.x

CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.70 MEDIA
Vector: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

5.70

Gravedad 3.x

MEDIA

Vector 2.0

AV:L/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.60 MEDIA
Vector: AV:L/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico