CVE-2020-3490

Cisco Vision Dynamic Signage Director (versões afetadas não especificadas)

Uma vulnerabilidade na interface de gerenciamento baseada na web do Cisco Vision Dynamic Signage Director poderia permitir que um invasor remoto autenticado, com privilégios administrativos, realizasse ataques de traversal de diretório e obtivesse acesso de leitura a arquivos confidenciais em um sistema afetado. O problema existe devido à falha da interface em validar adequadamente as entradas fornecidas pelo usuário. Um invasor poderia explorar isso enviando uma solicitação HTTP maliciosa contendo sequências de caracteres de traversal de diretório para um sistema afetado, o que poderia permitir que ele lesse arquivos no sistema operacional subjacente com privilégios de root.

Para resolver o problema, atualize o Cisco Vision Dynamic Signage Director para uma versão que valide adequadamente as entradas fornecidas pelo usuário na interface de gerenciamento baseada na web.

Como solução alternativa temporária, considere restringir o acesso à interface de gerenciamento baseada na web para minimizar o risco de exploração.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.