Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el envío de una petición HTTP en la funcionalidad de comprobación de sesión de la aplicación web de Cisco Data Center Network Manager (DCNM) (CVE-2021-1272)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
20/01/2021
Última modificación:
07/11/2023

Descripción

Una vulnerabilidad en la funcionalidad de comprobación de sesión de Cisco Data Center Network Manager (DCNM), podría permitir a un atacante no autenticado remoto omitir los controles de acceso y conducir un ataque de tipo server-side request forgery (SSRF) en un sistema objetivo. Esta vulnerabilidad es debido a una comprobación insuficiente de los parámetros en una petición HTTP específica por parte de un atacante. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada hacia un usuario autenticado de la aplicación web de DCNM. Una explotación con éxito podría permitir al atacante omitir los controles de acceso y conseguir acceso no autorizado a la aplicación Device Manager, que proporciona acceso a los dispositivos de red administrados por el sistema

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cisco:data_center_network_manager:*:*:*:*:*:*:*:* 11.5\(1\) (excluyendo)