Chris Dean

**Nome do software vulnerável e versões afetadas** Versões do software Cisco NX-OS até 10.2(1q) **Descrição** Uma vulnerabilidade no interpretador Python poderia permitir que um invasor local autenticado, com poucos privilégios, escapasse da sandbox do Python e obtivesse acesso não autorizado ao sistema operacional subjacente do dispositivo. O problema se deve à validação insuficiente das entradas fornecidas pelo usuário, o que pode ser explorado através da manipulação de funções específicas dentro do interpretador Python. Uma exploração bem-sucedida poderia permitir que um invasor executasse comandos arbitrários no sistema operacional subjacente com os privilégios do usuário autenticado. Observe que um invasor deve estar autenticado com privilégios de execução do Python para explorar essa vulnerabilidade. **Recomendações** Para versões do software Cisco NX-OS até 10.2(1q), atualize para uma versão corrigida para resolver a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao interpretador Python para minimizar o risco de exploração. Além disso, certifique-se de que apenas usuários autorizados tenham privilégios de execução do Python. Para obter mais informações sobre privilégios de execução do Python, consulte a documentação específica do produto, como a seção “Cisco NX-OS Security with Python” do Guia de Programabilidade do Cisco Nexus 9000 Series NX-OS.

**Nome do software vulnerável e versões afetadas** Software Cisco NX-OS (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no interpretador Python poderia permitir que um invasor local autenticado, com privilégios limitados, escapasse da sandbox do Python e obtivesse acesso não autorizado ao sistema operacional subjacente do dispositivo. A vulnerabilidade se deve à validação insuficiente das entradas fornecidas pelo usuário. Um invasor poderia explorar essa vulnerabilidade manipulando funções específicas dentro do interpretador Python. Uma exploração bem-sucedida poderia permitir que um invasor executasse comandos arbitrários no sistema operacional subjacente com os privilégios do usuário autenticado. Observe que um invasor deve estar autenticado com privilégios de execução do Python para explorar essa vulnerabilidade. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Software Cisco NX-OS (versões afetadas não especificadas) **Descrição** O problema está relacionado à validação insuficiente das entradas fornecidas pelo usuário no interpretador Python do software Cisco NX-OS, permitindo que um invasor local autenticado, com privilégios limitados, escape da sandbox do Python e obtenha acesso não autorizado ao sistema operacional subjacente do dispositivo. Um invasor poderia explorar essa vulnerabilidade manipulando funções específicas dentro do interpretador Python, potencialmente executando comandos arbitrários no sistema operacional subjacente com os privilégios do usuário autenticado. Observe que um invasor deve estar autenticado com privilégios de execução do Python para explorar essa vulnerabilidade. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cisco Nexus Dashboard (versões afetadas não especificadas) **Descrição** A vulnerabilidade está relacionada à validação insuficiente de entradas na interface de gerenciamento do Cisco Nexus Dashboard, o que poderia permitir que um invasor remoto sobrescrevesse arquivos arbitrários em um dispositivo afetado. O invasor precisaria ter credenciais de administrador para explorar essa vulnerabilidade, enviando um arquivo malicioso. **Recomendações** Para todas as versões afetadas, certifique-se de que apenas pessoal autorizado tenha credenciais de administrador para minimizar o risco de exploração. Como solução temporária, considere restringir os recursos de upload de arquivos na interface de gerenciamento até que uma correção esteja disponível.