CVE-2020-3396

Software Cisco IOS XE (versões afetadas não especificadas)

Uma vulnerabilidade no sistema de arquivos da unidade de estado sólido (SSD) USB 3.0 conectável para o software Cisco IOS XE pode permitir que um invasor físico autenticado remova a SSD USB 3.0 e modifique áreas confidenciais do sistema de arquivos, incluindo as proteções do contêiner de namespace. A vulnerabilidade ocorre porque os dados de controle do SSD USB 3.0 não são armazenados na memória flash de inicialização interna. Um invasor poderia explorar essa vulnerabilidade removendo o SSD USB 3.0, modificando ou excluindo arquivos no SSD USB 3.0 usando outro dispositivo e, em seguida, reinserindo o SSD USB 3.0 no dispositivo original. Uma exploração bem-sucedida poderia permitir que o invasor removesse as proteções do contêiner e realizasse ações em arquivos fora do namespace do contêiner com privilégios de root.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.