Vulnerabilidad en la funcionalidad NX-API del software Cisco NX-OS (CVE-2021-1227)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
24/02/2021
Última modificación:
03/03/2021
Descripción
Una vulnerabilidad en la funcionalidad NX-API del software Cisco NX-OS podría permitir a un atacante remoto no autenticado llevar a cabo un ataque de tipo cross-site request forgery (CSRF) en un sistema afectado. Esta vulnerabilidad es debido a las protecciones CSRF insuficientes para la NX-API en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario de la NX-API para que siga un enlace malicioso. Una explotación con éxito podría permitir al atacante llevar a cabo acciones arbitrarias con el nivel de privilegio del usuario afectado. El atacante podría visualizar y modificar la configuración del dispositivo. Nota: La funcionalidad NX-API está desactivada por defecto
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:nx-os:8.4\(2a\):*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:nx-os:8.4\(3\):*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:nx-os:8.4\(3\)s19:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:mds_9148s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:mds_9250i:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:mds_9706:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:mds_9710:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_7000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_7700:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:nx-os:9.3\(3\)idi9\(0.569\):*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_3048:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_31108pv-v:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_31108tc-v:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_31128pq:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_3132c-z:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página