PT-2021-7025 · Cisco · Cisco Enterprise Nfv Infrastructure
Cyrille Chatras
+2
·
Publicado
2021-11-02
·
Atualizado
2022-05-11
·
CVE-2022-20780
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Cisco Enterprise NFV Infrastructure Software (NFVIS) (versões afetadas não especificadas)
Descrição
O problema diz respeito a várias vulnerabilidades no Cisco Enterprise NFV Infrastructure Software (NFVIS) que poderiam permitir que um invasor escapasse da máquina virtual (VM) convidada para a máquina host, injetasse comandos executados no nível root ou vazasse dados do sistema da máquina host para a VM. Uma das vulnerabilidades está relacionada à restrição incorreta de links XML para objetos externos na função de importação do software, o que poderia permitir que um invasor remoto divulgasse informações protegidas usando código XML especialmente criado.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Improper Access Control
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Enterprise Nfv Infrastructure