Produkt | Cisco NX-OS: wszystkie wersje Luka dotyczy następujących produktów Cisco, jeżeli działały na nich wersje systemu Cisco NX-OS zawierające lukę: – Przełączniki wielowarstwowe serii MDS 9000 – Przełączniki serii Nexus 3000 – Przełączniki platformy Nexus 5500 – Przełączniki platformy Nexus 5600 – Przełączniki serii Nexus 6000 – Przełączniki serii Nexus 7000 – Przełączniki serii Nexus 9000 w samodzielnym trybie NX-OS |
Numer CVE | CVE-2024-20399 |
Krytyczność | 6.0/10 |
CVSS | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
Opis | Luka w interfejsie CLI systemu Cisco NX-OS może pozwolić uwierzytelnionemu, lokalnemu atakującemu na wykonanie dowolnych poleceń jako root w podstawowym systemie operacyjnym urządzenia, którego dotyczy luka. Przyczyną tej luki jest niewystarczająca weryfikacja argumentów przekazywanych do określonych poleceń konfiguracyjnych interfejsu CLI. Osoba atakująca może wykorzystać tę lukę, dołączając spreparowane dane wejściowe jako argument polecenia konfiguracyjnego CLI, którego dotyczy luka. Udany exploit może pozwolić atakującemu na wykonanie dowolnych poleceń w systemie operacyjnym z uprawnieniami roota. Uwaga: aby skutecznie wykorzystać tę lukę na urządzeniu Cisco NX-OS, osoba atakująca musi mieć poświadczenia administratora. Firma Cisco wydała aktualizacje systemu usuwające tę lukę. Nie ma rozwiązań pozwalających wyeliminować tę lukę. |
Aktualizacja | NIE |
Link | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-cmd-injection-xD9OhyOP |