Informazioni sul CVE-2024-20326
N/A
CWE ID: CWE-78
Base Score (CVSS): N/A
CVE: CVE-2024-20326
Descrizione: Una vulnerabilità nel CLI ConfD e nel Cisco Crosswork Network Services Orchestrator CLI potrebbe consentire a un attaccante autenticato, a basso privilegio, locale di leggere e scrivere file arbitrari come root sull’OS sottostante. Questa vulnerabilità è dovuta a un’applicazione non corretta dell’autorizzazione quando comandi CLI specifici vengono utilizzati. Un attaccante potrebbe sfruttare questa vulnerabilità eseguendo un comando CLI compromesso con argomenti creati. Un’exploit riuscito potrebbe consentire all’attaccante di leggere o scrivere file arbitrari sull’OS sottostante con i privilegi del utente root.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nso-rwpesc-qrQGnh3f
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cnfd-rwpesc-ZAOufyx8
Prodotti interessati
- Cisco – Cisco ConfD
- Cisco – Cisco ConfD Basic
- Cisco – Cisco Network Services Orchestrator
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco Network Services Orchestrator
Anno: 2024
CWE: CWE-78
CVSS: 0.0
Produttore:Cisco
Prodotto: Cisco ConfD
Anno: 2024
CWE: CWE-78
CVSS: 0.0
Produttore:Cisco
Prodotto: Cisco ConfD Basic
Anno: 2024
CWE: CWE-78
CVSS: 0.0