PT-2022-1438 · Cisco · Cisco Prime Infrastructure+1
Andreas Finstad
+1
·
Publicado
2022-01-12
·
Atualizado
2024-11-18
·
CVE-2022-20656
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Cisco Prime Infrastructure (versões afetadas não especificadas)
Versões do Cisco Evolved Programmable Network Manager (versões afetadas não especificadas)
Descrição
O problema está relacionado à validação insuficiente da entrada da URL HTTPS pela interface de gerenciamento baseada na web, permitindo que um invasor remoto autenticado realize um ataque de traversal de caminho. Isso poderia permitir que o invasor gravasse arquivos arbitrários no sistema host. O invasor deve possuir credenciais válidas no sistema para explorar essa vulnerabilidade.
Recomendações
Para o Cisco Prime Infrastructure, atualize para uma versão que inclua as atualizações de software lançadas pela Cisco para resolver este problema.
Para o Cisco Evolved Programmable Network Manager, atualize para uma versão que inclua as atualizações de software lançadas pela Cisco para resolver este problema.
Como solução alternativa temporária, considere restringir o acesso à interface de gerenciamento baseada na web para minimizar o risco de exploração.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Evolved Programmable Network Manager
Cisco Prime Infrastructure