Informazioni sul CVE-2024-20281
N/A
CWE ID: CWE-352
Base Score (CVSS): N/A
CVE: CVE-2024-20281
Descrizione: Una vulnerabilità nell’interfaccia di gestione web-based di Cisco Nexus Dashboard e Cisco Nexus Dashboard hosted services potrebbe consentire a un attaccante non autenticato e remoto di condurre un attacco Cross-Site Request Forgery (CSRF) su un sistema compromesso. Questa vulnerabilità è dovuta a protezioni CSRF insufficienti per l’interfaccia di gestione web-based su un sistema compromesso. Un attaccante potrebbe sfruttare questa vulnerabilità compromettendo un utente per far clic su un link malevolo. Un exploit riuscito potrebbe consentire all’attaccante di eseguire azioni arbitrarie con il livello di privilegio dell’utente compromesso. Se l’utente compromesso ha privilegi amministrativi, questi azioni potrebbero includere la modifica della configurazione del sistema e la creazione di nuovi account privilegiati. Nota: Esistono meccanismi di sicurezza interni in atto che limitano l’ambito di questo sfruttamento, riducendo il Rating di Sicurezza di questa vulnerabilità.
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: Required, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
Prodotti interessati
- Cisco – Cisco Data Center Network Manager
- Cisco – Cisco Nexus Dashboard
- Cisco – Cisco Nexus Dashboard Orchestrator
- Cisco – Cisco Nexus Dashboard Insights
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco Data Center Network Manager
Anno: 2024
CWE: CWE-352
CVSS: 0.0
Produttore:Cisco
Prodotto: Cisco Nexus Dashboard
Anno: 2024
CWE: CWE-352
CVSS: 0.0
Produttore:Cisco
Prodotto: Cisco Nexus Dashboard Orchestrator
Anno: 2024
CWE: CWE-352
CVSS: 0.0
Produttore:Cisco
Prodotto: Cisco Nexus Dashboard Insights
Anno: 2024
CWE: CWE-352
CVSS: 0.0