Informazioni sul CVE-2024-20294
N/A
CWE ID: CWE-805
Base Score (CVSS): N/A
CVE: CVE-2024-20294
Descrizione: Una vulnerabilità nel protocollo Layer Discovery del Link (LLDP) della funzionalità Cisco FXOS Software e Cisco NX-OS Software potrebbe consentire a un attaccante non autenticato di causare una condizione di interruzione del servizio (DoS) su un dispositivo compromesso. Questa vulnerabilità è dovuta a una gestione impropria di specifici campi in un frame LLDP. Un attaccante potrebbe sfruttare questa vulnerabilità inviando un pacchetto LLDP appositamente creato a un’interfaccia di un dispositivo compromesso e ottenendo statistiche LLDP da un utente autenticato tramite comandi CLI o richieste SNMP. Una successiva exploit potrebbe consentire all’attaccante di far crashare il servizio LLDP e di interrompere il suo funzionamento sul dispositivo compromesso. In determinate situazioni, il crash LLDP potrebbe causare il riavvio del dispositivo compromesso. Nota: LLDP è un protocollo Layer 2 di collegamento. Per sfruttare questa vulnerabilità, l’attaccante avrebbe dovuto essere direttamente connesso a un’interfaccia di un dispositivo compromesso, sia fisicamente o logicamente (ad esempio, attraverso un Tunnel Layer configurato per trasportare il protocollo LLDP).
Vettore di attacco CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Adjacent Network, Privilegi: None, Interazione utente: Required, Confidenzialità: None, Integrità: None, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | A | Adjacent Network | L’attacco richiede accesso a una rete locale condivisa. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
Prodotti interessati
- Cisco – Cisco NX-OS Software
- Cisco – Cisco Unified Computing System (Managed)
- Cisco – Cisco Firepower Extensible Operating System (FXOS)
- Cisco – Cisco NX-OS System Software in ACI Mode
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco NX-OS Software
Anno: 2024
CWE: CWE-805
CVSS: 0.0
Produttore:Cisco
Prodotto: Cisco Firepower Extensible Operating System (FXOS)
Anno: 2024
CWE: CWE-805
CVSS: 0.0
Produttore:Cisco
Prodotto: Cisco Unified Computing System (Managed)
Anno: 2024
CWE: CWE-805
CVSS: 0.0
Produttore:Cisco
Prodotto: Cisco NX-OS System Software in ACI Mode
Anno: 2024
CWE: CWE-805
CVSS: 0.0