PT-2024-3855 · Cisco · Cisco Crosswork Network Services Orchestrator
Elias Ikkelä-Koski
·
Publicado
2024-05-15
·
Atualizado
2024-07-03
·
CVE-2024-20326
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do ConfD (versões afetadas não especificadas)
Versões do Cisco Crosswork Network Services Orchestrator (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade na CLI do ConfD e na CLI do Cisco Crosswork Network Services Orchestrator poderia permitir que um invasor local autenticado, com privilégios limitados, lesse e gravasse arquivos arbitrários como root no sistema operacional subjacente. Essa vulnerabilidade se deve à aplicação inadequada de autorizações quando comandos específicos da CLI são utilizados. Um invasor poderia explorar essa vulnerabilidade executando um comando da CLI afetada com argumentos manipulados. Uma exploração bem-sucedida poderia permitir que o invasor lesse ou gravasse arquivos arbitrários no sistema operacional subjacente com os privilégios do usuário root.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Crosswork Network Services Orchestrator