PT-2024-4292 · Cisco · Cisco Crosswork Network Services Orchestrator
Publicado
2024-05-16
·
Atualizado
2024-05-16
·
CVE-2024-20389
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Cisco Crosswork Network Services Orchestrator (versões afetadas não especificadas)
ConfD (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade na CLI do ConfD e na CLI do Cisco Crosswork Network Services Orchestrator está relacionada à aplicação inadequada de autorizações quando comandos específicos da CLI são utilizados. Isso poderia permitir que um invasor local autenticado, com privilégios limitados, lesse e gravasse arquivos arbitrários como root no sistema operacional subjacente. Um invasor poderia explorar essa vulnerabilidade executando um comando da CLI afetado com argumentos manipulados.
Recomendações
Como solução alternativa temporária, considere desativar os comandos CLI afetados até que um patch esteja disponível.
Restrinja o acesso à CLI do ConfD e à CLI do Cisco Crosswork Network Services Orchestrator para minimizar o risco de exploração.
Evite usar argumentos criados especificamente em comandos CLI até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Incorrect Privilege Assignment
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Crosswork Network Services Orchestrator