PT-2020-17245 · Cisco · Cisco Ucs Director+2
Publicado
2020-05-06
·
Atualizado
2021-10-26
·
CVE-2020-3329
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Cisco Integrated Management Controller (IMC) Supervisor (versões afetadas não especificadas)
Versões do Cisco UCS Director (versões afetadas não especificadas)
Versões do Cisco UCS Director Express for Big Data (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade no controle de acesso baseado em função pode permitir que um invasor remoto autenticado com permissão de leitura desative contas de usuário em um sistema afetado. O problema se deve à alocação incorreta do botão de ação ativar/desativar no código do controle de acesso baseado em função. Um invasor poderia explorar essa vulnerabilidade autenticando-se como um usuário com permissão de leitura e, em seguida, atualizando as funções de outros usuários para desativá-los, incluindo potencialmente usuários administrativos.
Recomendações
Para o Cisco Integrated Management Controller (IMC) Supervisor, atualize a configuração do controle de acesso baseado em função para alocar corretamente o botão de ação de ativação/desativação.
Para o Cisco UCS Director, restrinja o acesso às atualizações de funções de usuário para usuários somente leitura até que uma correção seja aplicada.
Para o Cisco UCS Director Express for Big Data, considere desativar o recurso de atualização de função para usuários somente leitura como uma solução alternativa temporária.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Integrated Management Controller (Imc) Supervisor
Cisco Ucs Director
Cisco Ucs Director Express For Big Data