Vulnérabilité de lecture de fichiers arbitraires Plug and Play du contrôleur de tissu du tableau de bord Nexus de Cisco

Une vulnérabilité dans la fonctionnalité de Plug and Play (PnP) en dehors de la bande (OOB) du contrôleur de tissu Cisco Nexus Dashboard (NDFC) pourrait permettre à un attaquant non authentifié et distant de lire des fichiers arbitraires. Cette vulnérabilité est due à un serveur web de provisionnement non authentifié. Un attaquant pourrait exploiter cette vulnérabilité via des requêtes web directes au serveur de provisionnement. Un exploit réussi pourrait permettre à l'attaquant de lire des fichiers sensibles dans le conteneur PnP qui pourraient faciliter d'autres attaques sur l'infrastructure PnP. Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'y a pas de solutions de contournement qui traitent de cette vulnérabilité. Ce conseil de sécurité est disponible au lien suivant : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-dir-trav-SSn3AYDw Évaluation de l'impact de sécurité : Élevé CVE : CVE-2024-20348