PT-2020-3778 · Cisco · Cisco Nexus 9000 Series Switches+3
Publicado
2020-08-26
·
Atualizado
2020-09-09
·
CVE-2020-3394
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Switches Cisco Nexus série 3000 e switches Cisco Nexus série 9000 no modo NX-OS autônomo (versões afetadas não especificadas)
Descrição:
Um erro lógico na implementação do comando enable no recurso Enable Secret poderia permitir que um invasor local autenticado obtivesse privilégios administrativos completos sem usar a senha enable. O invasor precisaria ter credenciais válidas para o dispositivo afetado e fazer login no dispositivo para emitir o comando enable. O recurso Enable Secret está desativado por padrão.
Recomendações:
Para os switches Cisco Nexus série 3000 e os switches Cisco Nexus série 9000 no modo NX-OS autônomo, atualize para uma versão que inclua as atualizações de software lançadas pela Cisco para corrigir essa vulnerabilidade.
Como solução alternativa temporária, considere desativar o recurso Enable Secret até que um patch esteja disponível.
Restrinja o acesso ao comando enable para minimizar o risco de exploração.
Correção
Improper Authorization
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Nexus
Cisco Nexus 3000 Series Switches
Cisco Nexus 9000 Series Switches
Nx-Os