CVE-2020-3239

Versões do Cisco Integrated Management Controller (IMC) Supervisor (versões afetadas não especificadas)

Versões do Cisco UCS Director (versões afetadas não especificadas)

Versões do Cisco UCS Director Express for Big Data (versões afetadas não especificadas)

O problema está relacionado a erros no gerenciamento de privilégios na interface web do Cisco Integrated Management Controller (IMC) Supervisor, que gerencia infraestrutura física e ambientes virtuais, bem como no Cisco UCS Director e no Cisco UCS Director Express for Big Data. A exploração do problema pode permitir que um invasor remoto comprometa a integridade das informações protegidas. Além disso, várias vulnerabilidades na API REST do Cisco UCS Director e do Cisco UCS Director Express for Big Data podem permitir que um invasor remoto contorne a autenticação ou realize ataques de traversal de diretório em um dispositivo afetado.

Para o Cisco Integrated Management Controller (IMC) Supervisor, considere restringir o acesso à interface web até que uma correção esteja disponível.

Para o Cisco UCS Director, atualize a API REST para impedir a contornamento da autenticação e ataques de traversal de diretório.

Para o Cisco UCS Director Express for Big Data, restrinja o acesso à API REST até que um patch esteja disponível.

Como solução alternativa temporária, considere desativar a função unzip no módulo StorageUtil para impedir ataques de traversal de diretório e execução remota de código.