Informazioni sul CVE-2024-20285
Cisco NX-OS Software Python Parser Escape Vulnerability
CWE ID: CWE-653
Base Score (CVSS): N/A
CVE: CVE-2024-20285
Descrizione: Un difetto nel modulo Python dell’interprete Cisco NX-OS Software potrebbe consentire a un attaccante autenticato, a basso livello, locale di eludere il sandbox Python e di ottenere un accesso non autorizzato al sistema operativo sottostante del dispositivo. La vulnerabilità è dovuta a una convalida insufficiente dell’input fornito dall’utente. Un attaccante potrebbe sfruttare questa vulnerabilità manipolando specifiche funzioni nell’interprete Python. Un’exploit riuscito potrebbe consentire all’attaccante di eludere il sandbox Python e di eseguire comandi arbitrari sul sistema operativo con i privilegi dell’utente autenticato. Nota: Un attaccante deve essere autenticato con privilegi di esecuzione dell’interprete Python per sfruttare queste vulnerabilità. Per maggiori informazioni sui privilegi di esecuzione dell’interprete Python, consultare la documentazione specifica del prodotto, come la sezione del Guida di riferimento per la Programmabilità Nexus 9000 Series NX-OS.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: None, Confidenzialità: Low, Integrità: Low, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-psbe-ce-YvbTn5du
- https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/105x/programmability/cisco-nexus-9000-series-nx-os-programmability-guide-105x/m-n9k-python-api-101x.html?bookSearch=true#concept_A2CFF094ADCB414C983EA06AD8E9A410
Prodotti interessati
- Cisco – Cisco NX-OS Software
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco NX-OS Software
Anno: 2024
CWE: CWE-653
CVSS: 0.0