CRITICAL✓ PATCH🇬🇧 English

CVE-2024-20432

Command injection w Cisco Nexus Dashboard Fabric Controller (REST API i web UI)

CVSS 9.9v3.1pub. 2024-10-02upd. 2024-10-08

Podatność typu command injection w interfejsie REST API oraz web UI systemu Cisco Nexus Dashboard Fabric Controller (NDFC) umożliwia uwierzytelnionemu atakującemu z niskimi uprawnieniami zdalne wykonanie dowolnych poleceń. Ze względu na krytyczny wynik CVSS (9.9) i możliwość uzyskania uprawnień network-admin na zarządzanych urządzeniach, zagrożenie jest poważne.

Pokaż oryginał (EN)

A vulnerability in the REST API and web UI of Cisco Nexus Dashboard Fabric Controller (NDFC) could allow an authenticated, low-privileged, remote attacker to perform a command injection attack against an affected device.   This vulnerability is due to improper user authorization and insufficient validation of command arguments. An attacker could exploit this vulnerability by submitting crafted commands to an affected REST API endpoint or through the web UI. A successful exploit could allow the attacker to execute arbitrary commands on the CLI of a Cisco NDFC-managed device with network-admin privileges.   Note: This vulnerability does not affect Cisco NDFC when it is configured for storage area network (SAN) controller deployment.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej autoryzacji użytkowników oraz niewystarczającej walidacji argumentów poleceń przekazywanych do systemu. Atakujący może wysłać spreparowane żądania do podatnego endpointu REST API lub wprowadzić złośliwe dane przez interfejs web UI. Skuteczne wykorzystanie podatności pozwala na wykonanie dowolnych poleceń na interfejsie CLI urządzeń zarządzanych przez Cisco NDFC z uprawnieniami network-admin, co oznacza pełną kontrolę nad infrastrukturą sieciową.

Skutki

Atakujący może wykonać dowolne polecenia na urządzeniach zarządzanych przez Cisco NDFC z uprawnieniami network-admin, co może prowadzić do pełnego przejęcia kontroli nad infrastrukturą sieciową, utraty poufności, integralności i dostępności zarządzanych zasobów.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-cmdinj-UvYZrKfr. Podatność nie dotyczy urządzeń Cisco NDFC skonfigurowanych jako kontroler sieci SAN.

Kogo dotyczy

Cisco Nexus Dashboard Fabric Controller (NDFC) w konfiguracji innej niż wdrożenie kontrolera sieci SAN (storage area network). Dokładne wersje wskazane w referencjach producenta.

Uwagi

Podatność nie dotyczy wdrożeń Cisco NDFC skonfigurowanych jako kontroler sieci SAN (SAN controller deployment).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Cisco Nexus Dashboard Fabric Controller

    APP
    Cisco
    12.0.0 – 12.2.2 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2024-20536HIGH8.8ten sam produkt

A vulnerability in a REST API endpoint and web-based management interface of Cisco Nexus Dashboard Fabric Cont...

CVE-2024-20449HIGH8.8ten sam produkt

A vulnerability in Cisco Nexus Dashboard Fabric Controller (NDFC) could allow an authenticated, remote attacke...

CVE-2024-20281HIGH7.5ten sam produkt

A vulnerability in the web-based management interface of Cisco Nexus Dashboard and Cisco Nexus Dashboard hoste...

CVE-2024-20348HIGH7.5ten sam produkt

A vulnerability in the Out-of-Band (OOB) Plug and Play (PnP) feature of Cisco Nexus Dashboard Fabric Controlle...

CVE-2024-20442MEDIUM5.4ten sam produkt

A vulnerability in the REST API endpoints of Cisco Nexus Dashboard could allow an authenticated, low-privilege...