Informazioni sul CVE-2024-20490
Cisco Nexus Dashboard Fabric Controller and Nexus Dashboard Orchestrator Information Disclosure Vulnerability
CWE ID: CWE-200
Base Score (CVSS): N/A
CVE: CVE-2024-20490
Descrizione: Una vulnerabilità in una funzione di logging di Cisco Nexus Dashboard Fabric Controller (NDFC) e Cisco Nexus Dashboard Orchestrator (NDO) potrebbe permettere a un attaccante con accesso a un file di supporto tecnico di visualizzare informazioni sensibili. Questa vulnerabilità esiste perché i credenziali del proxy HTTP potrebbero essere registrate in un file di supporto interno che è memorizzato. Un attaccante potrebbe sfruttare questa vulnerabilità accedendo a un file di supporto creato da un sistema compromesso. Un exploit riuscito potrebbe consentire all’attaccante di visualizzare le credenziali di amministrazione del server proxy HTTP in chiaro che sono configurate su Nexus Dashboard per raggiungere una rete esterna. Nota: La migliore pratica è conservare i log di debug e i file di supporto tecnico in modo sicuro e condividerli solo con le parti autorizzate, perché potrebbero contenere informazioni sensibili.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: None, Interazione utente: Required, Confidenzialità: High, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
Prodotti interessati
- Cisco – Cisco Data Center Network Manager
- Cisco – Cisco Nexus Dashboard Orchestrator
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco Data Center Network Manager
Anno: 2024
CWE: CWE-200
CVSS: 0.0
Produttore:Cisco
Prodotto: Cisco Nexus Dashboard Orchestrator
Anno: 2024
CWE: CWE-200
CVSS: 0.0