PT-2024-3640 · Cisco · Cisco Crosswork Network Services Orchestrator
Elias Ikkelä-Koski
·
Publicado
2024-05-15
·
Atualizado
2024-05-15
·
CVE-2024-20366
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Cisco Crosswork Network Services Orchestrator (NSO) (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade no pacote de funções Tail-f High Availability Cluster Communications (HCC) pode permitir que um invasor local autenticado eleve seus privilégios para root em um dispositivo afetado. Esse problema existe porque um caminho de pesquisa controlado pelo usuário é usado para localizar arquivos executáveis, permitindo que um invasor configure o aplicativo de forma a fazer com que um arquivo malicioso seja executado. Uma exploração bem-sucedida poderia permitir que o invasor executasse código arbitrário em um dispositivo afetado como usuário root. O invasor precisaria de credenciais válidas em um dispositivo afetado para explorar essa vulnerabilidade.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Crosswork Network Services Orchestrator