Sintesi

Aggiornamenti di sicurezza Cisco sanano alcune vulnerabilità, di cui una con gravità “alta” nel prodotto Nexus Dashboard Fabric Controller. Tale vulnerabilità vulnerabilità potrebbe essere sfruttata, tramite richieste web opportunamente predisposte verso il server di provisioning, al fine di accedere a file sensibili presenti nel container Plug and Play (PnP).

Tipologia

• Arbitrary File Read
• Information Disclosure

Prodotti e/o versioni affette

Cisco Nexus Dashboard Fabric Controller (NDFC), versione 12.1.3

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nei bollettini di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2024-20348

Riferimenti

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-dir-trav-SSn3AYDw

https://sec.cloudapps.cisco.com/security/center/publicationListing.x

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.