PT-2020-20116 · Cisco · Cnos
Publicado
2020-10-14
·
Atualizado
2020-10-29
·
CVE-2020-8349
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Cloud Networking Operating System (CNOS) (versões afetadas não especificadas)
Descrição
Foi identificada uma vulnerabilidade de execução remota de código sem autenticação na interface opcional de gerenciamento da API REST do Cloud Networking Operating System (CNOS). Essa interface está desativada por padrão e só fica vulnerável quando ativada, especificamente quando conectada a um VRF e conforme permitido pelas ACLs definidas.
Recomendações
Para todas as versões afetadas, atualize para uma versão do CNOS que não seja vulnerável.
Como solução alternativa temporária, considere desativar a interface de gerenciamento da API REST até que um patch esteja disponível.
Restrinja o acesso ao VRF de gerenciamento e limite ainda mais o acesso a estações de gerenciamento autorizadas por meio de ACL.
Correção
Code Injection
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cnos