Vulnerabilità: CVE-2019-1614

Una vulnerabilità nella funzionalità di NX-API di Cisco NX-OS Software potrebbe consentire a un autenticato, attaccante remoto di eseguire comandi arbitrari con privilegi di root. La vulnerabilità è dovuta alla convalida immissione errata dei dati forniti dall’utente dal sottosistema NX-API. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità inviando dannoso HTTP o HTTPS pacchetti per l’interfaccia di gestione del sistema interessato, che ha la caratteristica NX-API abilitato. Un successo exploit potrebbe consentire all’utente malintenzionato di eseguire un attacco comando iniezione ed eseguire comandi arbitrari con privilegi di root. Nota: NX-API è disabilitato per default. Switch MDS 9000 Series Multilayer sono colpiti in esecuzione versioni del software prima di 8.1 (1b) e 8,2 (3). Interruttori Nexus della Serie 3000 sono influenzati in esecuzione versioni software precedenti a 7.0 (3) I4 (9) e 7,0 (3) I7 (4). Interruttori Nexus 3500 della piattaforma sono colpiti in esecuzione versioni software precedenti a 7.0 (3) I7 (4). Nexus 2000, 5500, 5600 e 6000 Series Switches sono colpiti in esecuzione versioni software precedenti a 7,3 (4) N1 (1). Nexus 9000 Series Switches in standalone NX-OS modalità sono interessati eseguono versioni software precedenti alla 7.0 (3) I4 (9) e 7,0 (3) I7 (4). Nexus 7000 e 7700 Series Switches sono colpiti in esecuzione versioni software precedenti a 7,3 (3) D1 (1) e 8,2 (3).


http://www.securityfocus.com/bid/107339
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-NXAPI-cmdinj
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1614


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi