Informazioni sul CVE-2023-20040

N/A

CWE ID: CWE-23

Base Score (CVSS): N/A

CVE: CVE-2023-20040

Descrizione: Un difetto nel servizio NETCONF della Cisco Network Services Orchestrator (NSO) potrebbe consentire a un attaccante autenticato e remoto di causare una negazione di servizio (DoS) su un sistema compromesso che è in esecuzione come l’utente root. Per sfruttare questa vulnerabilità, l’attaccante deve essere membro del gruppo admin. Questo difetto esiste perché l’input fornito dall’utente non viene validato correttamente quando NETCONF viene utilizzato per caricare pacchetti su un dispositivo compromesso. L’attaccante potrebbe sfruttare questo difetto attaccando un file di pacchetto in modo speciale. Un exploit riuscito potrebbe consentire all’attaccante di scrivere file personalizzati in posizioni arbitrarie sul filesystem o di eliminare file arbitrari dal filesystem di un sistema compromesso, causando una condizione di DoS. Nota: Di default, durante l’installazione, Cisco NSO verrà eseguito come l’utente root a meno che non venga utilizzato l’opzione –run-as-user.

Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 5.5 (Medium)

Riassunto: Accesso: Network, Privilegi: High, Interazione utente: None, Confidenzialità: None, Integrità: Low, Disponibilità: High.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	N	Network	L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC)	L	Low	L’attacco non richiede condizioni particolari.
Privileges Required (PR)	H	High	Richiede privilegi elevati.
User Interaction (UI)	N	None	Non è richiesta interazione dell’utente.
Scope (S)	U	Unchanged	Il raggio d’azione non cambia.
Confidentiality Impact (C)	N	None	Nessun impatto sulla riservatezza.
Integrity Impact (I)	L	Low	Impatto limitato.
Availability Impact (A)	H	High	Rende il sistema inutilizzabile.

Riferimenti esterni

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nso-path-trvsl-zjBeMkZg

Prodotti interessati

Cisco – Cisco Network Services Orchestrator

Relazioni con altri prodotti

Produttore:Cisco
Prodotto: Cisco Network Services Orchestrator
Anno: 2023
CWE: CWE-23
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2023)