CVE-2021-1442

**Nome do software vulnerável e versões afetadas:

Software Cisco IOS XE (versões afetadas não especificadas)

Descrição:

O problema está relacionado à proteção insuficiente de informações confidenciais no subsistema Plug-and-Play (PnP) do software Cisco IOS XE. Isso poderia permitir que um invasor local autenticado elevasse seus privilégios ao nível de um usuário administrador em um dispositivo afetado. Um invasor com privilégios baixos poderia explorar essa vulnerabilidade executando o comando de diagnóstico da CLI show pnp profile quando um ouvinte PnP específico estiver habilitado no dispositivo, obtendo potencialmente um token de autenticação privilegiado para enviar mensagens PnP manipuladas e executar comandos privilegiados.

Recomendações:

Para o Cisco IOS XE Software, atualize para uma versão que inclua a correção para este problema, uma vez que a Cisco já lançou atualizações de software para resolver esta vulnerabilidade.

Como solução alternativa temporária, considere desativar o listener PnP quando não for necessário, a fim de minimizar o risco de exploração.

Restrinja o acesso ao comando de diagnóstico show pnp profile apenas a pessoal autorizado.