Vulnerabilidad en la NX API (NX-API) Sandbox (CVE-2019-1733)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
15/05/2019
Última modificación:
09/10/2019
Descripción
Una vulnerabilidad en la NX API (NX-API) Sandbox para el programa NX-OS de Cisco podría permitir a un atacante remoto autorizado realizar un ataque de tipo cross-site scripting (XSS) contra un usuario de la NX-API en la interfaz Sandbox de un dispositivo afectado. La vulnerabilidad se debe a una comprobación insuficiente de la entrada proporcionada por el usuario por la interfaz de NX-API Sandbox. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario de la interfaz de NX-API Sandbox para que haga clic en un enlace creado. Una explotación con éxito podría permitir al atacante ejecutar un código de script arbitrario en el contexto de la interfaz de NX-API Sandbox afectada.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:nx-os:*:*:*:*:*:*:*:* | 7.0\(3\)i7 (incluyendo) | 7.0\(3\)i7\(4\) (excluyendo) |
| cpe:2.3:h:cisco:nexus_3000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_3100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_3100-z:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_3100v:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_3200:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_3400:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_3500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_3524-x:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_3524-xl:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_3548-x:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_3548-xl:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_3600:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_9000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_9200:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página