PT-2020-1988 · Cisco · Cisco Fxos+2
Publicado
2020-02-26
·
Atualizado
2020-03-03
·
CVE-2020-3171
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Software Cisco FXOS (versões afetadas não especificadas)
Software Cisco UCS Manager (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade na interface de linha de comando (CLI) de gerenciamento local do software afetado poderia permitir que um invasor local autenticado executasse comandos arbitrários no sistema operacional subjacente de um dispositivo afetado. O problema se deve à validação insuficiente de entradas, permitindo que um invasor explore essa vulnerabilidade incluindo argumentos maliciosos em comandos específicos. Uma exploração bem-sucedida poderia permitir que o invasor executasse comandos arbitrários no sistema operacional subjacente com os privilégios do usuário atualmente conectado, exceto nos Cisco UCS 6400 Series Fabric Interconnects, onde os comandos injetados são executados com privilégios de root.
Recomendações
Para o software Cisco FXOS, atualize para uma versão que inclua a correção para este problema.
Para o software Cisco UCS Manager, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso à CLI de gerenciamento local para minimizar o risco de exploração.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Asa
Cisco Fxos
Cisco Ucs Manager