Vulnerabilidad en un comando CLI en Cisco Nexus 9000 Series Fabric Switches (CVE-2021-1584)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
25/08/2021
Última modificación:
07/11/2023
Descripción
Una vulnerabilidad en Cisco Nexus 9000 Series Fabric Switches en el modo Application Centric Infrastructure (ACI) podría permitir a un atacante local autenticado elevar los privilegios en un dispositivo afectado. Esta vulnerabilidad es debido a las restricciones insuficientes durante la ejecución de un comando CLI específico. Un atacante con privilegios administrativos podría explotar esta vulnerabilidad al llevar a cabo un ataque de inyección de comandos en el comando vulnerable. Una explotación con éxito podría permitir al atacante acceder al sistema operativo subyacente como root.
Impacto
Puntuación base 3.x
6.70
Gravedad 3.x
MEDIA
Puntuación base 2.0
7.20
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:nx-os:14.2\(7f\):*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_9000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_9000v:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_92160yc-x:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_92300yc:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_92304qc:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_92348gc-x:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_9236c:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_9272q:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_93108tc-ex:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_93108tc-ex-24:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_93108tc-fx:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_93108tc-fx-24:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_93108tc-fx3p:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:nexus_93120tx:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página