CVE-2021-1452

**Nome do software vulnerável e versões afetadas:

Software Cisco IOS XE para os switches das séries Cisco Catalyst IE3200, IE3300 e IE3400 Rugged, os switches da série Cisco Catalyst IE3400 Heavy Duty e os switches da série Cisco Embedded Services 3300 (versões afetadas não especificadas)

Descrição:

O problema existe devido a validações incorretas de argumentos de funções específicas passados a um script de inicialização quando variáveis ROMMON específicas são definidas. Um invasor poderia explorar isso definindo valores maliciosos para uma variável ROMMON específica. Uma exploração bem-sucedida poderia permitir que o invasor executasse código não assinado e contornasse a verificação de imagem durante o processo de inicialização segura de um dispositivo afetado. Para explorar isso, o invasor precisaria ter acesso físico não autenticado ao dispositivo ou obter acesso privilegiado ao shell root no dispositivo.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.