Informazioni sul CVE-2024-20478
Cisco Application Policy Infrastructure Controller App Privilege Escalation Vulnerability
CWE ID: CWE-250
Base Score (CVSS): N/A
CVE: CVE-2024-20478
Descrizione: Una vulnerabilità nel componente software di aggiornamento del software di Cisco Application Policy Infrastructure Controller (APIC) e Cisco Cloud Network Controller, precedentemente Cisco Cloud APIC, potrebbe consentire a un attaccante autenticato e remoto con privilegi di amministratore di installare una immagine software modificata, portando a iniezione di codice arbitrario sul sistema compromesso. Questa vulnerabilità è dovuta a una convalida insufficiente della firma delle immagini software. Un attaccante potrebbe sfruttare questa vulnerabilità installando una immagine software modificata. Un exploit riuscito potrebbe consentire all’attaccante di eseguire codice arbitrario sul sistema compromesso e di elevare i propri privilegi a root. Nota: Gli amministratori dovrebbero sempre validare il hash di qualsiasi immagine di aggiornamento prima di caricarla su Cisco APIC e Cisco Cloud Network Controller.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: High, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
Prodotti interessati
- Cisco – Cisco Application Policy Infrastructure Controller (APIC)
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco Application Policy Infrastructure Controller (APIC)
Anno: 2024
CWE: CWE-250
CVSS: 0.0